2023 / Datenschutz / ISMS

ISO 27001:2022 – Was ist neu?

Die ISO 27001 ist eine international anerkannte Norm. Sie wird von der International Organization for Standardization (ISO) und der International Electrotechnical Commission (IEC) entwickelt. Die ISO 27001 legt die Anforderungen an ein Informationssicherheitsmanagementsystem (ISMS) fest, mit dem die Sicherheitsziele Vertraulichkeit, Integrität und Verfügbarkeit gemanagt werden können. Die Norm kann auf alle Organisationsarten und -größen angewendet werden. Mit ihr werden Aspekte der Informationssicherheit von digitalen Daten bis hin zu physischen Sicherheitsmaßnahmen und betrieblichen Prozessen beleuchtet. In unregelmäßigen Abständen wird sie den aktuellen Bedrohungen und Neuerungen in der Informationssicherheit angepasst und aktualisiert. Die letzte Aktualisierung erfolgte letztes Jahr mit der ISO 27001:2022.

Der Ursprung der ISO 27001 liegt in den 1990er Jahren. Als BS-7799-2:2002 wurde sie von der British Standards Institution veröffentlicht. Durch die ISO wurde der Standard dann weiterentwickelt und wie oben erwähnt aktualisiert. Diese Neuerungen führten im Jahr 2005, 2013 und 2017 zu neuen Versionen der ISO 27001.

Die Bedeutung eines ISMS

Mit einem ISMS wird Unternehmen ermöglicht, Sicherheitsrisiken auf systematische Weise zu erkennen und zu bewerten. Mit den ermittelten Sicherheitsrisiken können individuelle Sicherheitsstrategien entworfen werden, mit denen die Auswirkungen der Risiken gesenkt werden. Ein ISMS stärkt die allgemeine IT-Sicherheit in Unternehmen und schützt vor Gefahren und deren Folgen. Unternehmen können durch die Implementierung nachweisen, angemessene Sicherheitsmaßnahmen getroffen zu haben, was oft eine Anforderung von gesetzlichen und regulatorischen Vorgaben ist.

Bis 2024 muss die neue NIS-Direktive der EU in nationale Gesetze umgesetzt werden. Mit ihr sollen Unternehmen besser auf digitale Bedrohungen vorbereitet und Sicherheitsvorfälle transparenter gemacht werden. Zusätzlich kann so ein Überblick über die aktuelle Sicherheitslage der Mitgliedsstaaten geschaffen werden. Bei Nichtbeachtung der neuen Direktive drohen Sanktionen in Höhe von bis zu 20 Mio. EUR oder 4 % des Vorjahresumsatzes. Es sollte jedoch klar sein, dass ein Sicherheitsvorfall erheblich höheren Schaden und langfristige Auswirkungen auf ein Unternehmen haben kann, als die Geldbußen. Die Stärkung der Informationssicherheit als Resultat der Direktive ist ein nicht zu vernachlässigender Bestandteil des Unternehmenserfolges.

Wir stellen Vorlagen zur Implementierung eines ISO 27001:2022-konformen ISMS frei verfügbar bereit. Gerne können Sie sich die Vorlagen hier herunterladen.

Grundlegende Struktur der ISO 27001:2022

Mit der ISO 27001:2022 werden unterschiedlichste Bereiche eines Unternehmens abgedeckt. Die wichtigsten Bestandteile sind hierbei:

  • Kontext der Organisation: Verständnis der Organisation, um den Umfang des ISMS festzulegen
  • Führung: Rolle des Managements bei der Einrichtung und Aufrechterhaltung des ISMS
  • Planung: Festlegung von Anforderungen und Bewertung von Risiken
  • Unterstützung: Ressourcen und Kompetenzen, welche für das ISMS notwendig sind
  • Betrieb: Bewertung und Behandlung von Risiken sowie Einrichtung entsprechender Sicherheitsmaßnahmen
  • Leistungsbewertung: Messung und Evaluierung des ISMS für eine stetige Verbesserung
  • Verbesserung: Durchführung von Korrekturmaßnahmen, um die Informationssicherheit stetig zu steigern

Des Weiteren enthält die ISO 27001 einen Anhang mit Maßnahmen, die je nach Risikoprofil der Organisation ausgewählt und umgesetzt werden.

Neuerungen und Änderungen in der ISO 27001:2022

Im Oktober 2022 wurde nun die aktualisierte Version der ISO 27001 veröffentlicht, die ISO 27001:2022. Mit ihr wird das Feld Datenschutz stärker betont und in den Vordergrund gerückt. Das ist nicht verwunderlich, da Informationssicherheit und Datenschutz oft viele Berührungspunkte und Überschneidungen haben.

Der Maßnahmenkatalog wurde angepasst und neu strukturiert. Durch die Umstrukturierung wurde die Anzahl der Maßnahmen von 114 auf 93 reduziert und in vier statt ursprünglich 14 Abschnitten eingeordnet. Von den 93 Maßnahmen sind insgesamt elf neu eingeführt worden. Die Maßnahmen werden in der ISO 27001:2022 mit fünf verschiedenen Attributen versehen: Kontrolltyp, Eigenschaft der Informationssicherheit, Cybersicherheitskonzepte, Operative Fähigkeit und Sicherheitsdomänen.

Mit einer Übergangsfrist von drei Jahren wurde bereits zertifizierten Unternehmen die Möglichkeit gegeben, sich auf die neuen Anforderungen einzustellen. Hier gilt jedoch: je früher, desto besser. Besonders im Business Continuity Management sind die Anforderungen strenger geworden, hier sollten also möglichst zügig Anpassungen an die neue ISO 27001:2022 vorgenommen werden. Nicht zertifizierte Unternehmen sollten direkt die Zertifizierung nach der aktuellsten Version anstreben.

Fazit

Die Implementierung und Einführung eines ISMS birgt zahlreiche Vorteile für Unternehmen. Mit der ISO 27001:2022 können sich Unternehmen auf die wachsenden Herausforderungen der Informationssicherheit vorbereiten. Als Grundlage einer umfassenden Informationssicherheitsstrategie kann die Implementierung der Norm Organisation helfen, ihre Datenverarbeitung und Datensicherheit effizienter und sicherer gestalten. Mit der Zertifizierung wird nachgewiesen, dass die Organisation die aktuell besten Sicherheitspraktiken befolgt. Zusätzlich erhöht eine erfolgreiche Zertifizierung das Vertrauen von Kunden, Partner und Aktionären in das Unternehmen. In unserem Whitepaper zur ISO27001:2022 haben wir die Herangehensweise des Aufbaus nach der ISO27001:2022 detaillierter beschrieben. Fordern Sie jetzt das Whitepaper an.

Foto des Autors

Chris Wojzechowski

Mein Name ist Chris Wojzechowski und ich habe vor wenigen Jahren meinen Master in Internet-Sicherheit in Gelsenkirchen studiert. Ich bin geschäftsführender Gesellschafter der AWARE7 GmbH und ausgebildeter IT-Risk Manager, IT-Grundschutz Praktiker (TÜV) und besitze die Prüfverfahrenskompetenz für § 8a BSIG. Unser Brot und Buttergeschäft ist die Durchführung von Penetrationstests. Wir setzen uns darüber hinaus für ein breites Verständnis für IT-Sicherheit in Europa ein und bieten aus diesem Grund den Großteil unserer Produkte kostenfrei an.