ISO 27001:2022 – Alle Änderungen im Überblick

Es war lange überfällig, nun hat die internationale Organisation für Standardisierung (ISO) eine neue Version der ISO 27001 Norm veröffentlicht. Bis jetzt wurde zwar lediglich der Entwurf herausgegeben, die offizielle deutsche Publizierung wird jedoch jederzeit erwartet (Stand Mai 2022).

Im Gegensatz zu der letzten Überarbeitung, hat sich dieses Mal einiges verändert, sowohl strukturell als auch inhaltlich.  

Die einzelnen Maßnahmen werden nun in neue Themenbereiche eingeteilt, haben sich sprachlich geändert und weiteren Maßnahmen, deren Fokus vor allem auf Cloud-Security liegt, wurden ergänzt.

Allgemeine Veränderungen

Neben dem veränderten Namen des Standards, wurde diverse Maßnahmen-bezogene Aktualisierungen vorgenommen. Während die ISO 27001:20013er Norm 114 Maßnahmen abbildet, schließt das Update lediglich 93 Maßnahmen ein. So wurden zwar einige Maßnahmen neu eingeführt, anderen jedoch eliminiert oder zusammengefasst.

Während die Kontrollen zuvor in 14 Themenbereiche kategorisiert wurden, sind nach neuem Standard nur noch die folgenden vier Bereiche vorgesehen:

• Organisatorische Maßnahmen
• Technologische Maßnahmen
• Physische Maßnahmen
• Personelle Maßnahmen
  
  

Eine weitere Änderungen ist der stärkere Fokus auf Cyberrisiken, sodass Unternehmen nun adäquate Maßnahmen einführen müssen, um Ihr eine gestiegene Cybersicherheit zu erreichen.

Falls Ihr Unternehmen bereits nach ISO 27001:2013 zertifiziert ist, ist es zwar gut auf die Veränderungen vorbereitet, die Umstellung sollte jedoch frühzeitig berücksichtig werden.

Neu eingeführte Maßnahmen

Die Dynamik der sich stets verändernden Umwelt führt zu stetigen Veränderungen in den Anforderungen an die Informationssicherheit Ihres Unternehmens. Entsprechend der zunehmenden Relevanz diverser Cyber-Gefahren, wurden in der Neuauflage des ISO 27001-Standards einige Maßnahmen ergänzt.

• 5.7 Threat Intelligence
• 5.23 Informationssicherheit für Cloud Services
• 5.30 IKT Bereitschaft des betrieblichen Kontinuitätsmanagement
• 7.4 Monitoring physischer Sicherheit
• 8.9 Konfigurationsmanagement
• 8.10 Löschen von Informationen (Löschkonzept)
• 8.11Anonymisierung
• 8.12 Data Loss Prevention
• 8.16 Überwachung von Aktivitäten
• 8.22 Content-Filter
• 8.28 Sichere Entwicklung

Dabei sticht insbesondere die Threat Intelligence-Maßnahme heraus, die als Reaktion der Corona-Pandemie gedeutet werden kann. Durch “Remote-Working” und zunehmen digitale und mobile Unternehmensstrukturen hat sich die Anfälligkeit von Systemen und so auch die Angriffsfläche für potenzielle Attacken massiv erhöht.

Welche Maßnahmen wurden zusammengefasst?

Wie bereits erwähnt, wurden einige Maßnahmen im Zuge der Aktualisierung zusammengefasst. Im Folgenden haben wir eine Übersicht für Sie zusammengestellt:

• 5.1.1; 5.1.2 ⇒ 5.1 Informationssicherheitsrichtlinie
• 6.1.5; 14.1.1 ⇒ 5.8 Informationssicherheit im Projektmanagement
• 6.2.1; 11.2.8 ⇒ 8.1 User Endgeräte
• 8.1.1; 8.1.2 ⇒ 5.9 Inventarisierung von Informationen und Werten
• 8.1.3; 8.2.3 ⇒ 5.10 Geregelter Umgang mit Informationen und Werten
• 8.3.1; 8.3.2; 8.3.3 ⇒ 7.10 Speichermedien
• 9.1.1; 9.1.2 ⇒ 5.15 Zutrittsmanagement
• 9.2.2; 9.2.5; 9.2.6 ⇒ 5.18 Berechtigungskonzept
• 9.2.4; 9.3.1; 9.4.3 ⇒ 5.17 Authentifizierung
• 10.1.1; 10.1.2 ⇒ 8.24 Kryptographie
• 11.1.2; 11.1.6 ⇒ 7.2 Physischer Zutrittsschutz
• 12.1.2; 14.2.2; 14.2.3; 14.2.4 ⇒ 8.32 Change Management
• 12.1.4; 14.2.6 ⇒ 8.31 Separierung von Entwicklungs-, Test- und Produktionsumgebung
• 12.4.1; 12.4.2; 12.4.3 ⇒ 8.15 Logs
• 12.5.1; 12.6.2 ⇒ 8.19 Installation von Software auf Systemen in Betrieb
• 12.6.1; 18.2.3 ⇒ 8.8 Management von technischen Schwachstellen
• 13.2.1; 13.2.2; 13.2.3 ⇒ 5.14 Übertragung von Informationen
• 14.1.2; 14.1.3 ⇒ 8.26 Application Security Requirements
• 14.2.8; 14.2.9 ⇒ 8.29 Sicherheitstest in Entwicklungsumgebung
• 15.2.1; 15.2.2 ⇒ 5.22 Überwachung & Überprüfung von Change Management bei Lieferantenbeziehungen
• 16.1.2; 16.1.3 ⇒ 6.8 Meldung von Informationssicherheitsvorfällen
• 17.1.1; 17.1.2; 17.1.3 ⇒ 5.29 Aufrechterhaltung von Informationssicherheit
• 18.1.1; 18.1.5 ⇒ 5.31 Einhaltung von gesetzlichen und vertraglichen Anforderungen
• 18.2.2; 18.2.3 ⇒ 5.36 Compliance mit den Richtlinien und Anforderungen der Informationssicherheit
• 11.2.5 und der Schutz von Werten außerhalb der Organisation war inhaltlich doppelt und ist daher ersatzlos gestrichen worden.

Wie kann TrustSpace Ihr Unternehmen bei der Implementierung eines ISMS nach dem aktualisierten ISO 27001-Standard unterstützen?

Durch TrustSpace automatisieren Sie die Informationssicherheit Ihres Unternehmens. Die integrierte Plattform sowie unser Team von ISO-Experten helfen Ihnen mittels moderner Monitoring-Tools die Einhaltung von Sicherheitsmaßnahmen jederzeit zu überprüfen und nachzuweisen. Insbesondere die Anforderungen der Threat Intelligence und des umfangreichen Cloud Monitorings sind bereits vollumfängliche integriert. Durch die vollständige Einbindung unserer Lösung in die Systemumgebung Ihres Unternehmens können wir zeitraubende, analoge Prozesse beschleunigen und Ihr ISMS direkt auf die Gegebenheiten Ihres Unternehmens anpassen.

Gerne können Sie ein kostenloses & unverbindliches Erstgespräch mit einem unserer ISO-Experten vereinbaren.  

Disclaimer: Da die aktualisierte Norm noch nicht offiziell in deutscher Sprache erschienen ist, sind die Übersetzungen sinngemäß erfolgt.  

‍