Exkurs in die Welt der ISO 27001:2022 – Praxisnah erklärt

Die ISO 27001:2022 ist eine Norm für Informationssicherheitsmanagementsysteme (ISMS). Sie legt Anforderungen fest, die Organisationen dabei helfen, ein robustes System für die Sicherheit von Informationen und Daten zu etablieren, zu implementieren und kontinuierlich zu verbessern.

Diese Norm ist für Organisationen jeder Größe und Branche relevant, die sensible Informationen und Daten schützen möchten.

Die neue Version

Neue hinzugefügte Sicherheitsmaßnahmen und Aktualisierungen in den Bereichen Cybersicherheit und Datenschutz halten die Norm auf dem neuesten Stand. Die neueste Aktualisierung der Norm umfasst wesentliche Änderungen in den Normkapiteln.

Im Folgenden werden die wichtigsten Änderungen der Norm ISO 27001:2022 im Vergleich zur vorherigen Version aufgeführt:

  • Kapitel 4.2 „Understanding the needs and expectations of interested parties“: Das Verständnis der Bedürfnisse interessierter Parteien hier wurde ein zusätzlicher Punkt zur Festlegung der Anforderungendes ISMS wurde hinzugefügt.
  • Kapitel 4.4 „ISMS“: Eine Ergänzung betont die Einrichtung, Umsetzung, Aufrechterhaltung und kontinuierliche Verbesserung des ISMS.
  • Kapitel 6.1.3 „Information security risk treatment“: Behandlung von Informationssicherheitsrisiken hier ist eine Fußnote mit Verweis auf Anhang A ergänzt worden, die eine Liste möglicher Informationssicherheitsmaßnahmen enthält.
  • Kapitel 6.2 „Information security objectives and planning to achieve“: Ziele der Informationssicherheit und Planung zur Erreichung in diesem Abschnitt wurden neue Anforderungen hinzugefügt, die die Überwachung und Verfügbarkeit von Informationssicherheitszielen betreffen.
  • Kapitel 6.3 „Planning of changes“: Im Abschnitt Planung von Änderungen sind neue Anforderungen angeführt, dass Änderungen am ISMS geplant durchgeführt werden müssen.
  • Kapitel 8.1 „Operational planning and control“: Im Kapitel Operative Planung und Kontrolle finden sich neue Anforderungen zur Festlegung von Steuerungskriterien für Prozesse, Überprüfung derer Funktionsweise und Kontrolle extern bezogener Prozesse.

Annex A ist der abschließende Teil in der ISO 27001:2022 Norm und spielt eine wichtige Rolle bei der Umsetzung der Norm. Im Annex sind Kontrollmaßnahmen („Controls“) definiert, die Organisationen als Teil ihres Informationssicherheitsmanagementsystems (ISMS) implementieren können. Er wurde ebenfalls überarbeitet und neu strukturiert. Maßnahmen (Controls) wurden von 114 auf 93 reduziert und in vier Typen unterteilt:

  • Organisatorische (37 Maßnahmen)
  • Personenbezogene (8 Maßnahmen)
  • Physische (14 Maßnahmen)
  • Technologische (34 Maßnahmen)

Auswirkungen auf das Unternehmen

Die Aktualisierungen bedeuten keine drastischen Veränderungen im Umgang mit Informationssicherheit. Unternehmen mit einem zertifizierten ISMS gemäß ISO 27001:2013, sollten jedoch bis Juli 2025 auf die ISO 27001:2022 umsteigen, da der Übergangszeitraum im Oktober 2025 endet.

Fazit

Die ISO 27001:2022 bietet weiterhin einen robusten Rahmen für Informationssicherheit. Unternehmen, die diese Norm nutzen, sollten den Übergang zur neuesten Version planen, um ihre Sicherheitspraktiken auf dem aktuellen Stand zu halten. Bei Fragen oder Unterstützungsbedarf stehen wir Ihnen als Experten und Berater in diesem Bereich gerne zur Verfügung.

Startbild: (C) Gerd Altmann, CC0 v1.0, Pixabay