Was sind die Änderungen und Vorteile der neuesten ISO/IEC 27001-Norm?

Die Veröffentlichung der neuesten Version der ISO/IEC 27001 und der damit in Zusammenhang stehenden ISO/IEC 27002 kommt zur rechten Zeit, um daran zu erinnern, dass alle Unternehmen zunehmend Risiken im Bereich der Informationssicherheit ausgesetzt sind. Was sind nun die wichtigsten Änderungen und Vorteile, die die neue Version mit sich bringt?

Da ein großer Teil des modernen Geschäfts- und Handelsbetriebs digital abgewickelt wird, müssen Informationen, Daten und Cybersicherheit immer ganz oben auf der Liste des Managements stehen. Die Veröffentlichung der neuesten Version von ISO/IEC 27001 am 25. Oktober erinnert uns daher daran, dass alle Unternehmen zunehmend Risiken im Bereich der Informationssicherheit ausgesetzt sind. ISO/IEC 27001 ist die international anerkannte Norm für Informationssicherheits-Managementsysteme (ISMS), die Unternehmen bei der proaktiven Verwaltung und dem Schutz ihrer Informationen und Vermögenswerte sowie bei der Bewältigung und Eindämmung von Sicherheitsvorfällen unterstützt. Sie hilft auch bei der Einhaltung gesetzlicher Vorschriften und der Erfüllung von Kundenanforderungen.

Sicherheitsverletzungen und Cyberangriffe können zu erheblichen Verlusten und Rufschädigung führen. Um dies zu vermeiden, müssen Unternehmen die aktuellen Bedrohungen bewältigen und, wo erforderlich, die Risiken verringern. Dies trägt dazu bei, das Vertrauen der Stakeholder zu stärken und das Risiko von finanziellen Verlusten und Störungen zu minimieren. Die Einführung eines robusten, strukturierten Rahmens zur Identifizierung, Steuerung und Minderung von Risiken fördert die fortlaufende Verbesserung und stärkt die Geschäftskontinuität.

ISO/IEC 27001 ist so konzipiert, dass sie mit anderen anerkannten ISO-Normen für Managementsysteme kompatibel und harmonisiert ist. Die letzte größere Überarbeitung der Norm erfolgte 2013.  Daher wurde es als notwendig erachtet, die Norm, einschließlich der in ISO/IEC 27002 definierten Informationssicherheitsmaßnahmen, auf den neuesten Stand zu bringen, um den in der Zwischenzeit entstandenen Szenarien für Cyberangriffe und Verletzungen der Datensicherheit Rechnung zu tragen. 

Unternehmen, die nach der derzeitigen Version 2013 von ISO 27001 zertifiziert sind, haben drei Jahre Zeit, um auf die neue Version umzustellen. Das bedeutet, dass ihr aktuelles ISMS die neuen Anforderungen vor November 2025 erfüllen muss. Für Organisationen, die noch nicht zertifiziert sind, empfiehlt es sich, sofort eine Zertifizierung nach der neuen Norm anzustreben.

Die wichtigsten Änderungen, die die neueste Version der ISO/IEC 27001 mit sich bringt, sind…

Der Aufbau der neuen Version ist identisch mit der früheren Version, berücksichtigt nun aber die Konzepte von Cybersecurity und Datensicherheit. 

Ein kurzer Blick zeigt, dass sich die Änderungen fast ausschließlich auf den überarbeiteten Satz von Maßnahmen aus der ISO/IEC 27002 beziehen. Auf diese wird in Anhang A der ISO/IEC 27001 verwiesen. Dort sind die Maßnahmen für ein Informationssicherheitsmanagementsystem auf der Grundlage von ISO/IEC 27001 aufgeführt. Die Gesamtzahl der Maßnahmen wurde von 114 auf 93 geändert. Es gibt 11 neue Sicherheitsmaßnahmen, 58 wurden aktualisiert und 24 zusammengelegt, um das System zu vereinfachen und die neuen Szenarien, mit denen Unternehmen konfrontiert sind, besser zu berücksichtigen. 

Die Maßnahmen wurden außerdem in 4 Themenbereiche neu gegliedert: Organisatorische, personenbezogene, physische und technologische Maßnahmen. 

Für Nutzer und Implementierer bietet ISO/IEC 27002 auch nützliche Aktualisierungen im Abschnitt mit den Anleitungen für die Maßnahmen, einschließlich weiterer Beispiele.

Die 11 neuen Informationssicherheitsmaßnahmen sind:

BAG_DE_Tabelle_Neue_Sicherheitsmaßnahmen


Zusätzlich zu den Informationssicherheitsmaßnahmen gibt es einige kleinere Änderungen zur Anpassung an die jüngsten Aktualisierungen der High Level Structure (HLS) oder jetzt Harmonized Structure (HS) der ISO. Die wichtigsten Bereiche des Managementsystems, die davon betroffen sind, sind Führung, Unternehmenssicherheit, IT-Funktionen und andere Unterstützungsfunktionen. Bei Dienstleistern ist auch die Bereitstellung betroffen. Die neue Version ermöglicht aufgrund der aktualisierten Sicherheitsmaßnahmen ein effektiveres Risikomanagement. 

…und die Vorteile

Die wichtigsten Vorteile der neuen Version lassen sich wie folgt zusammenfassen:
  • Ermöglicht ein effektiveres Risikomanagement, da die Sicherheitsmaßnahmen in Anhang A verbessert wurden, um den aktuellen Szenarien, mit denen Unternehmen konfrontiert sind, Rechnung zu tragen.
  • Hilft Unternehmen, ihre Risiken und Bedrohungen neu zu bewerten und Sicherheitsmaßnahmen zu implementieren, die einem Kontext mit ständig zunehmender Interkonnektivität, Cloud- und Automatisierungstechnologie, Malware und Ransomware und anderen Schwachstellen angemessen sind.
  • Erweitert um Cybersicherheit und Datenschutz, um das Informationssicherheitsmanagementsystem besser mit diesen zentralen Themen zu verknüpfen, mit denen sich Unternehmen auseinandersetzen müssen.
  • Bietet eine bessere Struktur und Darstellung der Informationssicherheitsmaßnahmen in Anhang A und eine klarere und einfachere Sprache.

Die Vorteile eines Managementsystems und einer Zertifizierung nach ISO/IEC 27001 haben sich nicht geändert; die neue Version versetzt Unternehmen jedoch in die Lage, neue Risiken und Bedrohungen in ihrem Geschäftskontext besser zu verstehen, zu managen und abzumildern. 

Unabhängig davon, ob ein Unternehmen eine Umstellung vornimmt oder auf eine Zertifizierung nach der neuen Norm hinarbeitet, kann DNV alle Dienstleistungen und die nötige Unterstützung anbieten, die notwendig sind.