30. Nov 2022

Welche Änderungen der revidierte Standard für Informationssicherheit mit sich bringt

Neue ISO/IEC 27001:2022 – Das müssen Unternehmen jetzt wissen

Nach fast zehn Jahren wurde der international anerkannte führende Standard für Informationssicherheit – die ISO/IEC 27001 – überarbeitet und im Oktober 2022 als „ISO/IEC 27001:2022“ neu veröffentlicht. Der Geschäftsführer der staatlich akkreditierten und auf Informationssicherheit spezialisierten Zertifizierungsorganisation CIS - Certification & Information Security Services GmbH und VÖSI-Präsident, Klaus Veselko, klärt auf, was neu ist und welche Fristen zu beachten sind.

Die ISO/IEC 27001 ist die wichtigste internationale Norm für Informationssicherheit. Sie unterstützt Organisationen dabei, Informationssicherheitsmaßnahmen zu erarbeiten, zu implementieren sowie laufend zu verbessern. Die Norm deckt präventive Maßnahmen ab, um Informationen und Daten zu schützen. Auch reaktive Maßnahmen, um konkrete Sicherheitsvorfälle im Ernstfall bestmöglich abzufedern, sind in der Norm enthalten. Im Oktober 2022 wurde die neue Version der ISO/IEC 27001 von der ISO (International Organization for Standardization) veröffentlicht.

„Nach der letzten Revision im Jahr 2013 war eine Überarbeitung des Standards längst überfällig. Besonders seit dem rasanten Digitalisierungsanstieg in Betrieben hat sich auch die Bedrohungslage branchenunabhängig zugespitzt. Cyberattacken wurden und werden zunehmend professionalisiert“,

so CIS-Geschäftsführer Klaus Veselko. Der Global Threat Report von Crowdstrike zeigte etwa eine Zunahme von rund 82 % Ransomware-bedingter Datenlecks (2.686 Angriffe) im Jahr 2021 und mit nur einer Stunde und 32 Minuten eine deutlich kürzere Zeitspanne, die Angreifer benötigen, um sich Zugriff zu Systemen zu verschaffen. „Entsprechende Sicherheitsmaßnahmen schnell umzusetzen, ist also essentiell. Damit steht oder fällt oft der Erfolg und die Reputation eines Unternehmens“, so Veselko weiter. Eine Zertifizierung nach ISO/IEC 27001 entspricht dem aktuellsten, international anerkannten Stand der Technik und stellt Informationssicherheit auf mehreren Ebenen sicher.

 

Neuerungen der Revision der ISO/IEC 27001:2022

Während die ISO/IEC 27001:2013 unter den Namen „Informationstechnik – Sicherheitsverfahren – Informationssicherheits-Managementsysteme – Anforderungen“ veröffentlicht wurde, trägt die neue Version den Titel „Informationssicherheit, Cybersicherheit und Datenschutz – Informationssicherheits-Managementsysteme – Anforderungen“. Statt dem alleinigen Fokus auf Informationssicherheit bekommen nun auch die Themen Cybersicherheit und Datenschutz einen höheren Stellenwert in der Normenwelt und somit eine gewichtigere Rolle in Unternehmen. „Die Grenzen zwischen den unterschiedlichen Themen verschwimmen zunehmend, sodass eine vernetzte Betrachtung im Sinne einer ‚Security of Everything‘-Mentalität notwendig ist“, ist sich der IT-Experte sicher.

Die neue Version ist in vier praxisnahe Themenbereiche strukturiert (organisatorisch, personell, physisch und technisch). Nach diesen vier Themenbereichen sind auch die entsprechenden Maßnahmen (engl. Controls) für Informationssicherheit gruppiert – die 114 Maßnahmen der früheren Version aus 2013 wurden nun auf 93 reduziert und gänzlich neu strukturiert. Von bisher 114 Maßnahmen ist eine einzige Maßnahme weggefallen (Removal of assets), andere Maßnahmen wurden – u. a. zum Zweck der besseren Übersichtlichkeit – hingegen zu inhaltlich ähnlichen Themen zusammengefasst. Jede dieser 93 Maßnahmen ist aktuell wiederum mit fünf Attributen verknüpft (Art der Maßnahme, Schutzziel, Sicherheitskonzept etc.), welche die Security-Teams in der Praxis unterstützen sollen.

„Dies soll für eine bessere Einstufung der Maßnahmen und somit mehr Praxisorientierung und Verständlichkeit in der Umsetzung sorgen. Betriebe können so ihre Sicherheitsmaßnahmen zielgenauer gruppieren und unterschiedliche Sichtweisen auf die Maßnahmen erhalten“,

so Veselko weiter. „Die Maßnahmen für Informationssicherheit, wie sie im Anhang A der ISO/IEC 27001:2022 definiert sind, finden sich auch in der ISO/IEC 27002 wieder. Dort werden sie nicht nur generell angeführt, sondern detailliert als Implementierungsleitfaden beschrieben.“

 

Zeitlicher Ablauf und Fristen

Betriebe, die ihr Managementsystem nach ISO/IEC 27001:2013 zertifiziert haben, müssen dieses bis Ende Oktober 2025 auf die neue Version umstellen, da zu diesem Zeitpunkt die festgelegte dreijährige Übergangsfrist endet und Zertifikate nach dem alten Standard ab dann ihre Gültigkeit verlieren. CIS wird ab Anfang 2023 Neu- und Erstzertifizierungen nach der Version ISO/IEC 27001:2022 durchführen bzw. anbieten. Bei Überwachungs- oder Re-Zertifizierungsaudits kann laufend auf den neuen Standard umgestellt werden.

 

Proaktive Vorbereitung als Um und Auf

Betriebe, die sich bereits strukturiert mit Informationssicherheit beschäftigen, brauchen keine fundamentalen Veränderungen ihres Informationssicherheitsmanagementsystems zu befürchten. „Es ist jedoch unerlässlich, sich über die bevorstehenden Änderungen und deren Auswirkungen auf die individuelle Geschäftspraxis bewusst zu werden. CIS bietet seit Anfang 2022 Update-Trainings inklusive praktischen Umsetzungshinweisen an“, so Veselko.

„Prozesse, Richtlinien und Werkzeuge sollten generell laufend hinsichtlich der drei Schutzziele Vertraulichkeit, Verfügbarkeit und Integrität reflektiert werden, um weiterhin der sich ständig verändernden Bedrohungslage und dem Stand der Technik Rechnung zu tragen.“

 

Rolle der CIS im Zertifizierungsprozess

Aufgrund der staatlichen Akkreditierung bei Akkreditierung Austria (im Bundesministerium für Arbeit und Wirtschaft angesiedelt) ist das österreichische Dienstleistungsunternehmen CIS - Certification & Information Security Services GmbH berechtigt, Zertifizierungen nach ISO/IEC 27001:2022 durchzuführen und international gültige Zertifikate auszustellen. Die CIS ist als Zertifizierungsorganisation im Bereich Informationssicherheit, Datenschutz, Cloud Computing, IT-Services, Rechenzentren und Business Continuity Management tätig. Die Experten der CIS sind zudem in vielen internationalen Normungsgremien sowie im Präsidium des VÖSI (Verband Österreichischer Software Innovationen) vertreten, wodurch stets der aktuellste Wissenstand bei Audits und Trainings gewährleistet wird.

 

Bei Rückfragen und Interesse stehen die CIS Experten Ihnen gerne zur Verfügung:

KONTAKT  

Weitere News & Events

Immer topaktuell informiert

11. Jun 2024

Aufnahme von Aspekten des Klimawandels in die Normen für Management­systeme

Neuerungen und wie es weiter geht

Mehr erfahren
22. Mai 2024

Wie lernen Sie am Besten?

Welche Ansprüche stellen Sie an eine Weiterbildung?

Mehr erfahren
22. Mai 2024

Der neue Online-Kurs für Information Security Manager*innen ist da!

Flexibel bleiben und online lernen

Mehr erfahren
22. Mai 2024

Neu: Kompaktkurs Datenschutz

Stärken Sie Ihre Position als Expert*in in nur einem Tag!

Mehr erfahren
15. Mai 2024

TISAX® deep dive: die 12 Prüfziele (Labels)

Sicherheit in der Automobilindustrie

Mehr erfahren
13. Mai 2024

TISAX® deep dive: die drei Assessment-Levels

Sicherheit in der Automobilindustrie

Mehr erfahren
30. Apr 2024

TISAX®: Informations­sicherheit in der Automobilbranche

Auf der Überholspur

Mehr erfahren
29. Apr 2024

Erfolgreiche erste Prüfung nach dem Netz- und Informations­systemsicherheits­gesetz (NIS-Gesetz)

Success Story am Beispiel der KAGes.m.b.H.

Mehr erfahren
04. Apr 2024

Exklusives Führungskräfte­training für NIS-2

Machen Sie Ihr Unternehmen fit für die neue Richtlinie

Mehr erfahren
03. Apr 2024

CIS tritt der Austrian Data Center Association (ADCA) bei

Neue Kooperation

Mehr erfahren
01. Apr 2024

Smarte Compliance für Rechenzentren

NISG und EN 50600

Mehr erfahren
28. Mrz 2024

ISO 42001 – die neue Norm für Künstliche Intelligenz

Weltweit erster Standard für KI

Mehr erfahren

Sie wollen mehr erfahren?

Wir informieren Sie gerne!

Jetzt anfragen

+43 1 532 98 90