ISO veröffentlicht neue Version der ISO/IEC 27001
Die neue Version des Standards für Informationssicherheits-Managementsysteme (ISMS) – ISO/IEC 27001:2022 - ermöglicht es Unternehmen, das aktuelle Risiko besser zu erfassen und die notwendigen Sicherheitsmaßnahmen zu implementieren.
Informationssicherheit ist ein Thema, das bei den meisten Unternehmen auf der Tagesordnung steht. Durch den zunehmenden Einsatz von Cloud- und Automatisierungstechnologien, künstlicher Intelligenz, Cybersicherheit, Datenschutz, Malware und Ransomware sind Unternehmen gezwungen, sich mit neuen Szenarien auseinanderzusetzen. Das bedeutet, dass sie ihr aktuelles Risikoprofil neu bewerten und neue Bedrohungen auf aktive und strukturierte Weise bewältigen müssen.
"Die vorherige Version des Standards kam 2013 heraus. Seitdem hat sich in der Welt viel verändert. Die neue Version ist sehr zu begrüßen, denn sie bietet die notwendigen Sicherheitskontrollen und Anleitungen, die Unternehmen dabei helfen, Vertrauen in ihre Arbeit zum Schutz geschäftskritischer Daten aufzubauen", sagt Nanda Kumar Shamanna, Verantwortlicher für den globalen ICT-Service bei Business Assurance, DNV.
Wichtigste Änderungen in der Version 2022
Die Änderungen beziehen sich hauptsächlich auf die Informationssicherheitsmaßnahmen in Anhang A, die nach der Veröffentlichung der ISO/IEC 27002:2022 im Februar 2022 erwartbar waren. Es wurden 11 neue Sicherheitsmaßnahmen hinzugefügt, 58 aktualisiert und 24 bestehende zusammengeführt, um die neuen Szenarien widerzuspiegeln, mit denen Unternehmen konfrontiert sind. Die Maßnahmen wurden sprachlich überarbeitet und die Hinweise in der ISO/IEC 27002 wurden aktualisiert, um Unternehmen dabei zu helfen, Risiken zu managen, sicherzustellen, dass nichts übersehen wird, und entsprechende Folgemaßnahmen zu ergreifen. Zusätzlich zu den Änderungen im Hinblick auf die Informationssicherheitsmaßnahmen wurde die ISO/IEC 27001 auch an die neuesten Aktualisierungen der Harmonisierten Struktur der ISO (früher High Level Structure genannt) angepasst. Diese Änderungen werden jedoch als geringfügig angesehen, da die Ausgabe 2013 eine der ersten Normen war, die bereits auf Basis dieser Struktur erstellt wurde.
"Die neue Version ermöglicht aufgrund der aktualisierten Sicherheitsmaßnahmen ein effektiveres Risikomanagement. Sie bietet einen strukturierten Ansatz für Unternehmen, um ihr aktuelles Risikobild neu zu bewerten und Sicherheitsmaßnahmen neu zu etablieren", sagt Nanda Kumar Shamanna.
Der Zeitrahmen für die Umstellung ist auf drei (3) Jahre ab Veröffentlichung (vgl. unsere News IAF veröffentlicht Übergangsregelungen für ISO 27001:2022) festgelegt, was bedeutet, dass bestehende Zertifikate vor November 2025 auf die neue Version umgestellt werden müssen.