Neue Anforderungen in der ISO 27001:2022: Was Sie wissen müssen
Autor: Luca Cremer | 11. Januar 2024
Die Bedrohungslage durch Cyberangriffe und Datenverluste ist in Deutschland weiterhin konstant hoch. Um Informationssicherheit zu gewährleisten, empfiehlt sich die Zertifizierung nach ISO 27001, einem international anerkannten Standard für Informationssicherheit. Diese hat ein Update enthalten: Welche Neuerungen es gibt und was sie bedeuten, erfahren Sie im Beitrag.
Was ist die ISO 27001?
Die ISO 27001 legt klare Standards fest und ihre Zertifizierung dient als Nachweis für Ihre Organisation, einen hohen Standard für Informationssicherheit zu haben. Die Norm bietet einen stabilen Rahmen, um Vertraulichkeit, Integrität und die Verfügbarkeit von Informationen zu gewährleisten. Sie minimiert außerdem das Risiko finanzieller Verluste und von Reputationsschäden, erfüllt gesetzliche und behördliche Anforderungen und steigert die Wettbewerbsfähigkeit. Die Vorteile der ISO 27001 reichen daher von der Risikoreduktion über gesteigerte Kundenzufriedenheit bis zur Einhaltung von Compliance und der Erhöhung des Unternehmenswerts. Die Zertifizierung ist somit nicht nur ein Schutzmechanismus, um wertvolle Informationen zu sichern, sondern auch wirtschaftlich sinnvoll.
Teil der Anforderung der ISO 27001 ist der Aufbau eines Informationsicherheitsmanagementsystems (kurz ISMS). Der Aufbau und Inhalt eines ISMS ist strukturiert, beginnend mit dem Kontext der Organisation, Führung, Management, Planung, Umsetzung und Betrieb, bis hin zu Überwachung, Messung, Analyse und Verbesserung.
Welche Neuerungen gibt es in der ISO 27001?
Neuer Titel und neue Struktur
Die Norm trägt nun den Namen „Information Security, Cyber Security and Privacy Protection“, was treffend den Fokus der Norm verdeutlicht. Die Struktur wurde an die harmonisierte Struktur angepasst und basiert nun gezielt auf den Prinzipien der Prozessorientierung, Risikoorientierung und kontinuierlichen Verbesserung. Obwohl die einzelnen Bausteine weiterhin vorhanden sind, präsentiert sich die Struktur nun harmonischer und besser nachvollziehbar.
Konsolidierung der Kontrollen
Einer der größten Bausteine der ISO 27001 aus Kundensicht ist die Konsolidierung der Kontrollen. Die Liste der Controls in Anhang A wurde von 114 auf 93 reduziert, die zusätzlich in vier Kategorien unterteilt wurden:
- Organizational controls
- People controls
- Physical controls
- Information security management system (ISMS) controls
Diese neue Strukturierung beinhaltet sowohl neue Kontrollen, als auch Kontrollen, die zusammengelegt wurden. Diese wurden in die neuen Kategorien eingeteilt, wodurch die Durchführung der Kontrollen erheblich übersichtlicher wird.
Verbesserung der Risikoorientierung
Die überarbeitete Norm legt einen erheblich verstärkten Fokus auf die Identifikation und Bewertung von Risiken im Bereich Informationssicherheit. Insbesondere das Kapitel 6.1 (Risikomanagement) wurde überarbeitet und präsentiert nun detaillierte Anforderungen für die Bewertung von Risiken. Diese Aktualisierungen spiegeln sich auch in den Maßnahmen bzw. Controls im Anhang A wider, die nun gezielt das Risikomanagement berücksichtigen.
Bessere Integration von Datenschutz
Angesichts der globalen Bedeutung des Themas Datenschutz wurde die ISO 27001 um die Anforderungen aus den Datenschutzvorschriften der GDPR (General Data Protection Regulation) erweitert. Die Norm enthält nun neue Kontrollen, die speziell auf den Schutz personenbezogener Daten zugeschnitten sind.
Berücksichtigung aktueller Trends
Aktuelle Themen wie Cloud Computing, die Nutzung externer Geräte sowie das Konzept „Bring Your Own Device“ (BYOD) gewinnen in der Arbeitswelt, insbesondere bei der Zusammenarbeit mit Freelancern, zunehmend an Bedeutung. Deshalb wurden, adäquate Maßnahmen etabliert, um diese Trends in der Organisation zu berücksichtigen und gleichzeitig die Informationssicherheit zu gewährleisten.
Die sich ständig ändernde Bedrohungslage wurde ebenfalls als wichtiger Trend erkannt und entsprechend in die Neuerungen integriert. Dies spiegelt sich in den aktualisierten Kontrollen in Anhang A sowie in der an die veränderte Bedrohungslage angepassten Struktur wider.
Fazit
Die ISO 27001:2022 reflektiert nicht nur die kontinuierliche Evolution der Bedrohungslandschaft, sondern setzt auch klare Standards für Informationssicherheit, Cybersecurity und Datenschutz. Mit einer optimierten Struktur, konsolidierten Kontrollen, verstärkter Risikoorientierung und der Integration aktueller Trends positioniert sich die überarbeitete Norm als unverzichtbares Instrument zur Gewährleistung einer ganzheitlichen Informationssicherheit.
Beratung zu IT-Sicherheit nach ISO 27001 und BSI Grundschutz
Unsere ISO 27001 Beratung richtet sich an alle, die das Thema Informationssicherheit angehen wollen - sicher werden nach ISO 27001 Standard.