Die Norm ISO/IEC 27001 für Informationssicherheits-Managementsysteme (ISMS) bietet Unternehmen einen Rahmen für das Risikomanagement und den Schutz vor Bedrohungen, um die Sicherheit von Informationen zu gewährleisten - von finanziellen Informationen und geistigem Eigentum bis hin zu Mitarbeiterdaten und mehr.
Heutzutage steht das Thema Informationssicherheit auf der Agenda fast aller Unternehmen ganz oben. Mit neuen Szenarien ändert sich auch die Dringlichkeit. Allein durch die zunehmende Einführung von Cloud- und Automatisierungstechnologien, Cybersicherheit, Datenschutz, Malware und Ransomware sind Unternehmen gezwungen, ihren Kontext, die wichtigsten Risiken und Bedrohungen sowie die relevanten interessierten Parteien auf strukturierte und vertrauenswürdige Weise neu zu bewerten.
Da die letzte Version 2013 veröffentlicht wurde, war eine Revision notwendig, um Unternehmen bei der Steuerung neuer Szenarien zu helfen und sicherzustellen, dass aktuelle Sicherheitsmaßnahmen vorhanden sind.
Die überarbeitete ISO/IEC 27001:2022
Die neue Version der ISO/IEC 27001 befasst sich mit den neuen Szenarien, mit denen Unternehmen umgehen müssen. Die Änderungen betreffen hauptsächlich den Anhang A, die nach der Veröffentlichung der ISO/IEC 27002:2022 im ersten Quartal 2022 bereits erwartbar waren. In der ISO 27002:2022 wurden Sicherheitsmaßnahmen hinzugefügt, gestrichen oder zusammengelegt. Die Änderungen erstrecken sich auch auf Aspekte der Cybersicherheit und des Datenschutzes. Die Formulierung der Maßnahmen wurde aktualisiert und zusätzliche Hinweise hinzugefügt. Dies hilft Unternehmen beim Umgang mit Risiken, der Sicherstellung, dass nichts übersehen wird, und der ordnungsgemäßen Nachverfolgung.
Die letzte Version wurde im Jahr 2013 veröffentlicht. Daher überrascht es nicht, dass die Änderungen bei den Sicherheitsmaßnahmen mit 11 neuen, 58 aktualisierten und 24 zusammengelegten Maßnahmen recht umfangreich sind. Die veränderten Szenarien, auf die besonders eingegangen wird, sind:
- Einführung von digitalen Technologien wie Cloud und Automatisierung;
- Erkennen von Risiken für die Cybersicherheit und den Datenschutz;
- Berücksichtigung der sich verändernden Bedrohungslandschaft, z.B. neue Arten von Malware und Ransomware;
- Anpassung an andere bewährte Praktiken, z.B. NIST, COBIT, etc.
- Sprachliche Überarbeitung der Maßnahmen und Ergänzung zusätzlicher Hinweise
Die wichtigsten Bereiche, die von den Änderungen betroffen sind, sind:
- Informationssicherheitsrisikobeurteilung & -behandlung,
- Anwendbarkeitserklärung,
- Führung,
- Unternehmenssicherheit,
- IT-Funktion,
- andere unterstützende Funktionen,
- Bereitstellung (für Dienstleister).
Um die Anforderungen zu erfüllen, müssen Organisationen ihre Risikobeurteilungen neu bewerten und ihre Sicherheitsmaßnahmen anpassen.
Zusätzlich zu den Änderungen bei den Maßnahmen wurde die Ausgabe 2022 auch an die neuesten Aktualisierungen der Harmonisierten Struktur der ISO (früher High Level Structure genannt) angepasst. Diese Änderungen basieren auf der neuesten Version von Anhang SL der ISO/IEC-Richtlinien Teil 1 (2022). Diese Änderungen werden jedoch als geringfügig angesehen, da die Ausgabe 2013 einer der ersten Standards war, der die HLS übernommen hat.
Zeitplan für die Umstellung
Die neue Version von ISO/IEC 27001 wurde am 25. Oktober 2022 veröffentlicht. Der Zeitplan für die Umstellung beträgt 3 Jahre. Aktuelle 2013-Zertifikate müssen daher bis zum 31. Oktober 2025 auf die neue Version umgestellt werden.
Das Übergangsaudit kann während eines beliebigen geplanten Audits innerhalb des 3-jährigen Übergangszeitraums durchgeführt werden. Es kann aber auch als spezielles Übergangsaudit durchgeführt werden.
Vorbereitungen für die Implementierung
Wir empfehlen Ihnen, so früh wie möglich mit den Vorbereitungen für die Umstellung zu beginnen und die notwendigen Änderungen in Ihr Managementsystem zu integrieren.
Empfohlene Schritte für die Umstellung:
- Machen Sie sich mit den Inhalten und Anforderungen des neuen Standards vertraut. Konzentrieren Sie sich auf die Änderungen, die der überarbeitete Standard mit sich bringt.
- Stellen Sie sicher, dass die zuständigen Mitarbeiter in Ihrer Organisation geschult sind und die Anforderungen und wichtigsten Änderungen verstehen.
- Ermitteln Sie die Lücken, die geschlossen werden müssen, um die neuen Anforderungen zu erfüllen, und erstellen Sie einen Umsetzungsplan.
- Setzen Sie Maßnahmen um und aktualisieren Sie Ihr Managementsystem, um die neuen Anforderungen zu erfüllen.
Wie wir Sie unterstützen können
Unabhängig davon, ob Sie bereits nach ISO/IEC 27001 zertifiziert sind oder den Standard neu einführen, kann DNV Sie bei der Zertifizierung Ihres Managementsystems für Informationssicherheit und bei der Umstellung unterstützen. Als eine der weltweit führenden Zertifizierungsstellen arbeiten wir mit kleinen und großen Unternehmen zusammen, um deren Anforderungen an Informationssicherheit und Datenschutz zu erfüllen.
Wenn Sie sich auf die Umstellung von Version 2013 auf Version 2022 vorbereiten, können wir Sie unterstützen mit:
- Ein erster Überblick: Wir stellen Ihnen hilfreiche Materialien zur Verfügung, die Sie sich kostenfrei herunterladen können. Oder nehmen Sie an unserem kostenfreien Webseminar "Informationssicherheit - die neue ISO/IEC 27001:2022" am 12. Januar 2023 teil. Jetzt anmelden!
- Trainings, in denen Sie sich über die Revision informieren und einen grundlegenden Überblick über die wichtigsten Änderungen und den Umstellungsprozess erhalten.
- Online-Self-Assessments-Tools und Gap-Assessments, um zu messen, wie gut Ihr Managementsystem die neuen Anforderungen erfüllt.
- Übergangsaudit.
Möchten Sie sich zum ersten Mal nach ISO/IEC 27001 zertifizieren lassen? Hier erfahren Sie mehr über den Standard und den Weg zur Zertifizierung.