Die Änderungen der Leitlinien für die Informationssicherheit in der Version 2022 beziehen sich in erster Linie auf Controls, die den Unternehmen helfen, sich verändernde Sicherheitsszenarien und damit verbundene Risiken zu bewältigen.
Die letzte Aktualisierung der ISO/IEC 27002 stammt aus dem Jahr 2013 mit kleineren Änderungen im Jahr 2017. Eine Überarbeitung war also längst überfällig. Die heutigen Risiken für Informationssicherheit, Cybersicherheit und Datenschutz haben sich dramatisch verändert. Die Bedrohung für alle Unternehmen hat sich verschärft, und das Management der Informationssicherheit ist zu einer Frage der Geschäftskontinuität und Widerstandsfähigkeit geworden. Angriffe oder Sicherheitsverletzungen sind im besten Fall ein Ärgernis. Es gibt jedoch immer mehr Fälle, in denen Unternehmen nach Angriffen stark beeinträchtigt werden, die Produktion behindert wird oder für Tage und Wochen komplett zum Erliegen kommt.
"Das Thema steht ganz oben auf der Tagesordnung der meisten Unternehmen und Vorstände. Es scheint, dass jeder gefährdet ist, aber viele haben kein angemessenes und robustes System zur Ermittlung, Verwaltung und Minderung ihrer Informationssicherheitsrisiken eingeführt. Der aktualisierte Standard hilft Unternehmen, die sich verändernden Informationssicherheitsszenarien anzugehen", sagt Nanda Kumar Shamanna, ICT Business Manager von DNV Business Assurance.
Die neue Version befasst sich mit Controls im Zusammenhang mit digitalen und Cloud-Technologien, um Bedrohungen der Cybersicherheit und des Datenschutzes (wie Ransomware und Malware) einzubeziehen. Der Standard wurde auch überarbeitet, um andere Sicherheitsperspektiven durch die Identifizierung verschiedener Merkmale zu berücksichtigen.
Auch ISO/IEC 27001 wird überarbeitet
Die Änderungen an dieser Leitnorm werden sich auf die zertifizierbare Norm ISO/IEC 27001 auswirken und die entsprechende Überarbeitung wird im Laufe dieses Jahres, möglicherweise im Oktober, veröffentlicht. Die Änderungen werden sich voraussichtlich ausschließlich auf die Controls (Anhang A) beziehen. Der Zeitplan für den Übergang wird im Rahmen der Veröffentlichung festgelegt, Unternehmen können jedoch bereits jetzt durch die Veröffentlichung der ISO/IEC 27002 mit den Vorbereitungen beginnen.
Die wichtigsten Vorteile der neuen Version für zertifizierte Unternehmen:
- berücksichtigt neue Szenarien und Risiken;
- hilft, andere Sicherheitsperspektiven zu verstehen;
- umfasst Aspekte der Cybersicherheit und des Datenschutzes;
- enthält neue Controls, um sicherzustellen, dass neue Szenarien und Risiken nicht übersehen werden.
