30. Nov 2022

Welche Änderungen der revidierte Standard für Informationssicherheit mit sich bringt

Neue ISO/IEC 27001:2022 – Das müssen Unternehmen jetzt wissen

Nach fast zehn Jahren wurde der international anerkannte führende Standard für Informationssicherheit – die ISO/IEC 27001 – überarbeitet und im Oktober 2022 als „ISO/IEC 27001:2022“ neu veröffentlicht. Der Geschäftsführer der staatlich akkreditierten und auf Informationssicherheit spezialisierten Zertifizierungsorganisation CIS - Certification & Information Security Services GmbH und VÖSI-Präsident, Klaus Veselko, klärt auf, was neu ist und welche Fristen zu beachten sind.

Die ISO/IEC 27001 ist die wichtigste internationale Norm für Informationssicherheit. Sie unterstützt Organisationen dabei, Informationssicherheitsmaßnahmen zu erarbeiten, zu implementieren sowie laufend zu verbessern. Die Norm deckt präventive Maßnahmen ab, um Informationen und Daten zu schützen. Auch reaktive Maßnahmen, um konkrete Sicherheitsvorfälle im Ernstfall bestmöglich abzufedern, sind in der Norm enthalten. Im Oktober 2022 wurde die neue Version der ISO/IEC 27001 von der ISO (International Organization for Standardization) veröffentlicht.

„Nach der letzten Revision im Jahr 2013 war eine Überarbeitung des Standards längst überfällig. Besonders seit dem rasanten Digitalisierungsanstieg in Betrieben hat sich auch die Bedrohungslage branchenunabhängig zugespitzt. Cyberattacken wurden und werden zunehmend professionalisiert“,

so CIS-Geschäftsführer Klaus Veselko. Der Global Threat Report von Crowdstrike zeigte etwa eine Zunahme von rund 82 % Ransomware-bedingter Datenlecks (2.686 Angriffe) im Jahr 2021 und mit nur einer Stunde und 32 Minuten eine deutlich kürzere Zeitspanne, die Angreifer benötigen, um sich Zugriff zu Systemen zu verschaffen. „Entsprechende Sicherheitsmaßnahmen schnell umzusetzen, ist also essentiell. Damit steht oder fällt oft der Erfolg und die Reputation eines Unternehmens“, so Veselko weiter. Eine Zertifizierung nach ISO/IEC 27001 entspricht dem aktuellsten, international anerkannten Stand der Technik und stellt Informationssicherheit auf mehreren Ebenen sicher.

 

Neuerungen der Revision der ISO/IEC 27001:2022

Während die ISO/IEC 27001:2013 unter den Namen „Informationstechnik – Sicherheitsverfahren – Informationssicherheits-Managementsysteme – Anforderungen“ veröffentlicht wurde, trägt die neue Version den Titel „Informationssicherheit, Cybersicherheit und Datenschutz – Informationssicherheits-Managementsysteme – Anforderungen“. Statt dem alleinigen Fokus auf Informationssicherheit bekommen nun auch die Themen Cybersicherheit und Datenschutz einen höheren Stellenwert in der Normenwelt und somit eine gewichtigere Rolle in Unternehmen. „Die Grenzen zwischen den unterschiedlichen Themen verschwimmen zunehmend, sodass eine vernetzte Betrachtung im Sinne einer ‚Security of Everything‘-Mentalität notwendig ist“, ist sich der IT-Experte sicher.

Die neue Version ist in vier praxisnahe Themenbereiche strukturiert (organisatorisch, personell, physisch und technisch). Nach diesen vier Themenbereichen sind auch die entsprechenden Maßnahmen (engl. Controls) für Informationssicherheit gruppiert – die 114 Maßnahmen der früheren Version aus 2013 wurden nun auf 93 reduziert und gänzlich neu strukturiert. Von bisher 114 Maßnahmen ist eine einzige Maßnahme weggefallen (Removal of assets), andere Maßnahmen wurden – u. a. zum Zweck der besseren Übersichtlichkeit – hingegen zu inhaltlich ähnlichen Themen zusammengefasst. Jede dieser 93 Maßnahmen ist aktuell wiederum mit fünf Attributen verknüpft (Art der Maßnahme, Schutzziel, Sicherheitskonzept etc.), welche die Security-Teams in der Praxis unterstützen sollen.

„Dies soll für eine bessere Einstufung der Maßnahmen und somit mehr Praxisorientierung und Verständlichkeit in der Umsetzung sorgen. Betriebe können so ihre Sicherheitsmaßnahmen zielgenauer gruppieren und unterschiedliche Sichtweisen auf die Maßnahmen erhalten“,

so Veselko weiter. „Die Maßnahmen für Informationssicherheit, wie sie im Anhang A der ISO/IEC 27001:2022 definiert sind, finden sich auch in der ISO/IEC 27002 wieder. Dort werden sie nicht nur generell angeführt, sondern detailliert als Implementierungsleitfaden beschrieben.“

 

Zeitlicher Ablauf und Fristen

Betriebe, die ihr Managementsystem nach ISO/IEC 27001:2013 zertifiziert haben, müssen dieses bis Ende Oktober 2025 auf die neue Version umstellen, da zu diesem Zeitpunkt die festgelegte dreijährige Übergangsfrist endet und Zertifikate nach dem alten Standard ab dann ihre Gültigkeit verlieren. CIS wird ab Anfang 2023 Neu- und Erstzertifizierungen nach der Version ISO/IEC 27001:2022 durchführen bzw. anbieten. Bei Überwachungs- oder Re-Zertifizierungsaudits kann laufend auf den neuen Standard umgestellt werden.

 

Proaktive Vorbereitung als Um und Auf

Betriebe, die sich bereits strukturiert mit Informationssicherheit beschäftigen, brauchen keine fundamentalen Veränderungen ihres Informationssicherheitsmanagementsystems zu befürchten. „Es ist jedoch unerlässlich, sich über die bevorstehenden Änderungen und deren Auswirkungen auf die individuelle Geschäftspraxis bewusst zu werden. CIS bietet seit Anfang 2022 Update-Trainings inklusive praktischen Umsetzungshinweisen an“, so Veselko.

„Prozesse, Richtlinien und Werkzeuge sollten generell laufend hinsichtlich der drei Schutzziele Vertraulichkeit, Verfügbarkeit und Integrität reflektiert werden, um weiterhin der sich ständig verändernden Bedrohungslage und dem Stand der Technik Rechnung zu tragen.“

 

Rolle der CIS im Zertifizierungsprozess

Aufgrund der staatlichen Akkreditierung bei Akkreditierung Austria (im Bundesministerium für Arbeit und Wirtschaft angesiedelt) ist das österreichische Dienstleistungsunternehmen CIS - Certification & Information Security Services GmbH berechtigt, Zertifizierungen nach ISO/IEC 27001:2022 durchzuführen und international gültige Zertifikate auszustellen. Die CIS ist als Zertifizierungsorganisation im Bereich Informationssicherheit, Datenschutz, Cloud Computing, IT-Services, Rechenzentren und Business Continuity Management tätig. Die Experten der CIS sind zudem in vielen internationalen Normungsgremien sowie im Präsidium des VÖSI (Verband Österreichischer Software Innovationen) vertreten, wodurch stets der aktuellste Wissenstand bei Audits und Trainings gewährleistet wird.

 

Bei Rückfragen und Interesse stehen die CIS Experten Ihnen gerne zur Verfügung:

KONTAKT  

Weitere News & Events

Immer topaktuell informiert

30. Jan 2023

Harald Erkinger ist neuer Geschäftsführer der CIS

Erfahrener IT- und Cybersicherheits-Experte neuer CEO

Mehr erfahren
05. Dez 2022

NIS 2.0 – was kommt auf uns zu?

Neue Regelung für Cybersicherheit: CIS-Experte klärt auf

Mehr erfahren
30. Nov 2022

Gesucht: Auditor*in Informations-sicherheits-management nach ISO 27001 (m/w/d)

30. Nov 2022

Gesucht: Prüfer*in Netz- und Informations­sicherheit (NIS) (m/w/d)

15. Nov 2022

Informationssicherheit in einer Kultur der offenen Türen

Science Security Series: Gastkommentar der FH St. Pölten

Mehr erfahren
07. Nov 2022

Revision ISO 27001 & ISO 27002:2022 – was kommt, was geht, was bleibt?

Überblick zu Maßnahmen und gute Nachrichten für die Umstellung

Mehr erfahren
26. Sep 2022

41-jähriger Sicherheits-Experte ist heimischer „CISO of the Year“

Österreichs beste Chief Information Security Officer geehrt

Mehr erfahren
21. Sep 2022

Experten präsentieren Strategien gegen Cyber-Attacken auf Betriebs­technologie

Das war der CIS Compliance Summit 2022

Mehr erfahren
12. Sep 2022

Wer ist der beste CISO im ganzen Land?

Nicht mehr lange und der Titel „CISO of the Year 2022“ wird erstmals beim diesjährigen CIS Compliance Summit an die oder den besten Chief Information Security…

Mehr erfahren
19. Aug 2022

ISO/IEC 27001:2022 – was ist neu?

Was bedeutet die Revision der ISO 27001 für Unternehmen?

Mehr erfahren
08. Aug 2022

6 kritische Faktoren der ISMS Umsetzung

Kritische Faktoren der ISMS Umsetzung

Mehr erfahren
28. Jul 2022

Global Threat Report 2022: was Sie jetzt wissen müssen!

Zusammenfassung aktueller Cyber Trends und Angriffe

Mehr erfahren

Sie wollen mehr erfahren?

Wir informieren Sie gerne!

Jetzt anfragen

+43 732 34 23 22