07. Nov 2022

Revision ISO 27001 & ISO 27002:2022 – was kommt, was geht, was bleibt?

Robert Jamnik, Head of Audit Services der CIS, berichtet in diesem Newsartikel über bevorstehende Änderungen bei Normen, Standards & Co. und geht darauf ein, welche Chancen sich dadurch in der Praxis ergeben.

Die gute Nachricht zuerst: Das Managementsystem per se ändert sich nicht. Der Kern der Norm ISO 27001 für „Informationstechnologie – IT-Sicherheitsverfahren – Informationssicherheits-Managementsysteme – Anforderungen“ (bzw. der Managementsystem Kapitel 4-10) wird sich mit der 2022 Revision also nicht ändern. Dies gilt somit für alle Betriebe, die ein Managementsystem nach ISO 27001 implementiert haben.

Die zweite gute Nachricht: Der Anhang A (Annex A) der ISO 27001 wurde überarbeitet und weist eine gänzlich neue Kapitelstruktur sowie vier neue praxisnahe Themenbereiche (gegliedert in: organisatorisch, personell, physisch und technisch) und neue Attribute (Maßnahmen) auf.

Hand in Hand mit der ISO 27001 geht immer auch die ISO 27002 – diese beinhält rund 93 allgemeine Maßnahmen (= Controls), welche bei der Erfüllung der Anforderungen der ISO 27001 helfen sollen. Der neue Titel der Norm  weist darauf hin, dass die Themen Cyber Security und Privacy Protection einen höheren Stellenwert in der ISO 27001 Normenwelt bekommen haben.

Dieser neue Fokus schlägt sich auch in den neuen Maßnahmen der ISO 27002 bzw. des Anhang A der ISO 27001 nieder:

  • Threat control bzw. Threat intelligence

    Betriebe werden künftig gefordert sein, Informationen über Bedrohungen und Angriffstools laufend zu erheben und ins Managementsystem – auf strategischer, taktischer und operativer Ebene – zu integrieren.

  • Informationssicherheit bei der Verwendung von Cloud Services

    Der gesamte Lebenszyklus von cloudbasierten Services – von der Auswahl über den Betrieb bis hin zum Ausstieg – muss begleitet werden.

  • Löschen von Informationen

    Informationen, die man nicht besitzt, kann man nicht verlieren. Dieses Konzept, das bereits aus der DSGVO bekannt ist, erlangt in der neuen Version der Norm einen höheren Stellenwert. Diese Maßnahme bezieht sich auf das Löschen aller sensitiven Informationen, die nicht mehr benötigt werden – und nicht (wie etwa im Falle der EU-DSGVO) lediglich auf personenbezogene Daten. Somit müssen generell alle Daten, die nicht mehr benötigt werden, gelöscht werden.

  • Physical security monitoring

    Standorte müssen auf nicht autorisierte Zutritte überwacht werden.

  • Management der Konfiguration

    Die Bedeutung einer aktuellen und vollständigen Dokumentation der Konfigurationen von Software, Hardware, Services und Netzwerken wird deutlich herausgestrichen.

  • Business Continuity Anforderungen an die IKT (Informations- und Kommunikationstechnik)

    Betriebe müssen konkrete Anforderungen zur Aufrechterhaltung der IKT-Infrastruktur erarbeiten und diese umsetzen

  • Datenmaskierung

    Das Minimalitätsprinzip in seiner Ausprägung bei der Verwendung von Daten erhält in der neuen Version der Norm ein eigenes Sicherheitscontrol. Die Konzepte, wie wir sie schon aus z. B. der Datenschutzgrundverordnung kennen, finden somit konkreten Eingang in den Anhang A der 27001:2022. Die zentrale Fragestellung „Welche Daten müssen für die einzelnen Prozessschritte tatsächlich zur Verfügung stehen?“ ist an dieser Stelle neu zu beantworten.

  • Verhinderung von Datenverlusten (data leakage prevention)

    Maßnahmen zur Verhinderung und dem Erkennen von Datendiebstahl sind zu entwickeln und bezogen auf die Risiken der Organisation einzusetzen.

  • Secure coding

    Secure Coding als eigene Disziplin der Softwareentwicklung wird stärker in den Fokus gerückt. Die relevanten Konzepte dazu betreffen den gesamten Softwareentwicklungszyklus und bringen als Ergebnis Software mit deutlich weniger oder optimalerweise keinen Sicherheitslücken.

  • Überwachung

    Die durchschnittliche Erkennungsrate von Sicherheitsvorfällen von 212 Tagen sowie zusätzlich weitere 75 Tage, um darauf zu reagieren, unterstreicht, worum es in diesem Sicherheitscontrol geht. Netzwerke, Systeme und Applikationen sollten kontinuierlich hinsichtlich Anomalien beobachtet werden, um zeitnah entsprechende Maßnahmen durchzuführen.

  • Web filtering

    Der Zugang zu nicht vertrauenswürdigen oder kompromittierten Websites muss verhindert werden, um die eigene Infrastruktur zu schützen.

Und was bedeutet das für Sie in der Praxis?

Die dritte Version der ISO 27001:2022 trägt das Datum 2022-10. Die entsprechend der festgelegten Übergangsfrist von 3 Jahren müssen alle nach ISO 27001:2013 zertifizierten Managementsysteme bis spätestens Ende September  2025 umgestellt sein, da die ISO 27001:2013 Zertifikate dann ihre Gültigkeit verlieren.

1 Jahr nach der Veröffentlichung wird die Zertifizierungsinstanz CIS Neu- und Erstzertifizierungen nur noch nach dem neuen Standard durchführen. Bei Überwachungs- oder Re-Zertifizierungsaudits kann laufend auf den neuen Standard umgestellt werden.

Zusammenfassend lässt sich also sagen, dass der Anhang A auf einen neuen, den aktuellen Stand der Technik Rechnung tragenden Stand gebracht wurde. Um auch weiterhin sowohl dem Stand der Technik als auch der sich verändernden Bedrohungslage Rechnung zu tragen, sollten sich Unternehmen bereits früher als später mit Faktoren wie Risikomanagement, Überarbeitung der Sicherheitsmaßnahmen und des Auditprogramms auseinandersetzen.

 

Wir freuen uns auf Ihre Anfragen!

Sie haben Fragen zum neuen Standard bzw. was genau das für Ihr Unternehmen oder Ihre Organisation bedeutet? Melden Sie sich bei uns – die Experten der CIS stehen Ihnen jederzeit für Rückfragen zur Verfügung!

Weitere News & Events

Immer topaktuell informiert

11. Dez 2024

Neue Zertifizierung für grüne Rechenzentren auf dem Markt

Österreichisches Umweltzeichen UZ 80

Mehr erfahren
28. Nov 2024

ISO 27001: Vorteile der Zertifizierung für Ihr Unternehmen

Insights zertifizierter Unternehmen

Mehr erfahren
11. Nov 2024

6 Schritte zur erfolgreichen ISO 42001 Implementierung

Die Einführung der ISO 42001 erfordert einen strukturierten Ansatz, sorgfältige Planung und Struktur.

Mehr erfahren
06. Nov 2024

6 Vorteile einer ISO 42001 Zertifizierung

Standards für die verantwortungsvolle und effektive Nutzung von Künstlicher Intelligenz

Mehr erfahren
04. Nov 2024

ISO 27001 erhöht Informations­sicherheit bei 81 % der zertifizierten Unternehmen

Umfrage

Mehr erfahren
22. Okt 2024

CIS verleiht erstes ISO 42001 Zertifikat für österreichisches Unternehmen

neue Maßstäbe für die sichere und transparente Entwicklung von KI

Mehr erfahren
14. Okt 2024

„CISO of the Year“ kürt zwei Innovatoren, die das Cyber-Leben sicherer und einfacher machen

Einer der Höhepunkte am CIS Compliance Summit war auch in diesem Jahr die Auszeichnung

Mehr erfahren
11. Okt 2024

KI-Ethik sichert im Schulter­schluss mit Richtlinien die Infrastruktur

Das war der CIS Compliance Summit 2024 für Entscheidungsträger

Mehr erfahren
10. Okt 2024

ISO 27001 Statusreport Österreich 2024 veröffentlicht

Eine Navigationshilfe zur aktuellen Lage der Informationssicherheit

Mehr erfahren
08. Okt 2024

Neues Training für Künstliche Intelligenz: KI-Manager

Fit für die Zukunft

Mehr erfahren
07. Okt 2024

Krisenfest und zukunftsorientiert: Ihre Qualifikation als Business Continuity Manager

Fit für Krisen und Notfälle

Mehr erfahren
+43 1 532 98 90