30. Nov 2022

Welche Änderungen der revidierte Standard für Informationssicherheit mit sich bringt

Neue ISO/IEC 27001:2022 – Das müssen Unternehmen jetzt wissen

Nach fast zehn Jahren wurde der international anerkannte führende Standard für Informationssicherheit – die ISO/IEC 27001 – überarbeitet und im Oktober 2022 als „ISO/IEC 27001:2022“ neu veröffentlicht. Der Geschäftsführer der staatlich akkreditierten und auf Informationssicherheit spezialisierten Zertifizierungsorganisation CIS - Certification & Information Security Services GmbH und VÖSI-Präsident, Klaus Veselko, klärt auf, was neu ist und welche Fristen zu beachten sind.

Die ISO/IEC 27001 ist die wichtigste internationale Norm für Informationssicherheit. Sie unterstützt Organisationen dabei, Informationssicherheitsmaßnahmen zu erarbeiten, zu implementieren sowie laufend zu verbessern. Die Norm deckt präventive Maßnahmen ab, um Informationen und Daten zu schützen. Auch reaktive Maßnahmen, um konkrete Sicherheitsvorfälle im Ernstfall bestmöglich abzufedern, sind in der Norm enthalten. Im Oktober 2022 wurde die neue Version der ISO/IEC 27001 von der ISO (International Organization for Standardization) veröffentlicht.

„Nach der letzten Revision im Jahr 2013 war eine Überarbeitung des Standards längst überfällig. Besonders seit dem rasanten Digitalisierungsanstieg in Betrieben hat sich auch die Bedrohungslage branchenunabhängig zugespitzt. Cyberattacken wurden und werden zunehmend professionalisiert“,

so CIS-Geschäftsführer Klaus Veselko. Der Global Threat Report von Crowdstrike zeigte etwa eine Zunahme von rund 82 % Ransomware-bedingter Datenlecks (2.686 Angriffe) im Jahr 2021 und mit nur einer Stunde und 32 Minuten eine deutlich kürzere Zeitspanne, die Angreifer benötigen, um sich Zugriff zu Systemen zu verschaffen. „Entsprechende Sicherheitsmaßnahmen schnell umzusetzen, ist also essentiell. Damit steht oder fällt oft der Erfolg und die Reputation eines Unternehmens“, so Veselko weiter. Eine Zertifizierung nach ISO/IEC 27001 entspricht dem aktuellsten, international anerkannten Stand der Technik und stellt Informationssicherheit auf mehreren Ebenen sicher.

 

Neuerungen der Revision der ISO/IEC 27001:2022

Während die ISO/IEC 27001:2013 unter den Namen „Informationstechnik – Sicherheitsverfahren – Informationssicherheits-Managementsysteme – Anforderungen“ veröffentlicht wurde, trägt die neue Version den Titel „Informationssicherheit, Cybersicherheit und Datenschutz – Informationssicherheits-Managementsysteme – Anforderungen“. Statt dem alleinigen Fokus auf Informationssicherheit bekommen nun auch die Themen Cybersicherheit und Datenschutz einen höheren Stellenwert in der Normenwelt und somit eine gewichtigere Rolle in Unternehmen. „Die Grenzen zwischen den unterschiedlichen Themen verschwimmen zunehmend, sodass eine vernetzte Betrachtung im Sinne einer ‚Security of Everything‘-Mentalität notwendig ist“, ist sich der IT-Experte sicher.

Die neue Version ist in vier praxisnahe Themenbereiche strukturiert (organisatorisch, personell, physisch und technisch). Nach diesen vier Themenbereichen sind auch die entsprechenden Maßnahmen (engl. Controls) für Informationssicherheit gruppiert – die 114 Maßnahmen der früheren Version aus 2013 wurden nun auf 93 reduziert und gänzlich neu strukturiert. Von bisher 114 Maßnahmen ist eine einzige Maßnahme weggefallen (Removal of assets), andere Maßnahmen wurden – u. a. zum Zweck der besseren Übersichtlichkeit – hingegen zu inhaltlich ähnlichen Themen zusammengefasst. Jede dieser 93 Maßnahmen ist aktuell wiederum mit fünf Attributen verknüpft (Art der Maßnahme, Schutzziel, Sicherheitskonzept etc.), welche die Security-Teams in der Praxis unterstützen sollen.

„Dies soll für eine bessere Einstufung der Maßnahmen und somit mehr Praxisorientierung und Verständlichkeit in der Umsetzung sorgen. Betriebe können so ihre Sicherheitsmaßnahmen zielgenauer gruppieren und unterschiedliche Sichtweisen auf die Maßnahmen erhalten“,

so Veselko weiter. „Die Maßnahmen für Informationssicherheit, wie sie im Anhang A der ISO/IEC 27001:2022 definiert sind, finden sich auch in der ISO/IEC 27002 wieder. Dort werden sie nicht nur generell angeführt, sondern detailliert als Implementierungsleitfaden beschrieben.“

 

Zeitlicher Ablauf und Fristen

Betriebe, die ihr Managementsystem nach ISO/IEC 27001:2013 zertifiziert haben, müssen dieses bis Ende Oktober 2025 auf die neue Version umstellen, da zu diesem Zeitpunkt die festgelegte dreijährige Übergangsfrist endet und Zertifikate nach dem alten Standard ab dann ihre Gültigkeit verlieren. CIS wird ab Anfang 2023 Neu- und Erstzertifizierungen nach der Version ISO/IEC 27001:2022 durchführen bzw. anbieten. Bei Überwachungs- oder Re-Zertifizierungsaudits kann laufend auf den neuen Standard umgestellt werden.

 

Proaktive Vorbereitung als Um und Auf

Betriebe, die sich bereits strukturiert mit Informationssicherheit beschäftigen, brauchen keine fundamentalen Veränderungen ihres Informationssicherheitsmanagementsystems zu befürchten. „Es ist jedoch unerlässlich, sich über die bevorstehenden Änderungen und deren Auswirkungen auf die individuelle Geschäftspraxis bewusst zu werden. CIS bietet seit Anfang 2022 Update-Trainings inklusive praktischen Umsetzungshinweisen an“, so Veselko.

„Prozesse, Richtlinien und Werkzeuge sollten generell laufend hinsichtlich der drei Schutzziele Vertraulichkeit, Verfügbarkeit und Integrität reflektiert werden, um weiterhin der sich ständig verändernden Bedrohungslage und dem Stand der Technik Rechnung zu tragen.“

 

Rolle der CIS im Zertifizierungsprozess

Aufgrund der staatlichen Akkreditierung bei Akkreditierung Austria (im Bundesministerium für Arbeit und Wirtschaft angesiedelt) ist das österreichische Dienstleistungsunternehmen CIS - Certification & Information Security Services GmbH berechtigt, Zertifizierungen nach ISO/IEC 27001:2022 durchzuführen und international gültige Zertifikate auszustellen. Die CIS ist als Zertifizierungsorganisation im Bereich Informationssicherheit, Datenschutz, Cloud Computing, IT-Services, Rechenzentren und Business Continuity Management tätig. Die Experten der CIS sind zudem in vielen internationalen Normungsgremien sowie im Präsidium des VÖSI (Verband Österreichischer Software Innovationen) vertreten, wodurch stets der aktuellste Wissenstand bei Audits und Trainings gewährleistet wird.

 

Bei Rückfragen und Interesse stehen die CIS Experten Ihnen gerne zur Verfügung:

KONTAKT  

Weitere News & Events

Immer topaktuell informiert

15. Feb 2024

EN 50600 fördert Nachhaltigkeit

Wie passen Ressourcenfresser Rechenzentren und der European Green Deal zusammen?

Mehr erfahren
05. Feb 2024

Aktueller Stand zur Normenentwicklung EN 50600

Update für Rechenzentren 2024

Mehr erfahren
31. Jan 2024

CIS ist erste Prüfstelle für EN 50600

31. Jan 2024

Neue Firmenadresse

Wir sind umgezogen!

Mehr erfahren
29. Jan 2024

CISO of the Year: Ihr persönlicher Karrierebooster

CISO of the Year 2023 Marcel Lehner

Mehr erfahren
26. Jan 2024

CISO of the Year: Außergewöhnliche Leistungen, außergewöhnliche Auszeichnung

Sonderpreisträger Lifetime Achievement Award Thomas Schober

Mehr erfahren
24. Jan 2024

CISO of the Year: Erfolgreiche Projekte auf die Bühne

CISO of the Year 2023 Bettina Thurnher

Mehr erfahren
22. Jan 2024

Cyberattacken weltweit Nummer 1 Risiko

Neue Daten im Zuge des „Risk Barometer“ veröffentlicht

Mehr erfahren
18. Jan 2024

Praxis-Einblicke in die Umsetzung von DORA

Sind Sie von der DORA-Verordnung betroffen?

Mehr erfahren
03. Jan 2024

Resilienz im Finanzsektor – DORA

Digital Operational Resilience Act – Überblick zur EU-Verordnung

Mehr erfahren
07. Dez 2023

Bedeutende rechtliche Fortschritte für die Cyber-Security 2024

Relevante Gesetze und Richtlinien für Informationssicherheit

Mehr erfahren
13. Nov 2023

TISAX: Neuer ISA-Katalog vom VDA veröffentlicht

Wesentliche Neuerungen für Automobil-Industrie

Mehr erfahren

Sie wollen mehr erfahren?

Wir informieren Sie gerne!

Jetzt anfragen

+43 1 532 98 90