Welche Auswirkungen gibt es für Unternehmen?
Die Experten der IT Consulting Rafael Robert Gawenda und Benjamin Schlotz erläuterten den Teilnehmern des Webinars die Neuerungen durch die ISO 27001:2022 und welche teilweise weitreichenden Folgen sie für die Unternehmen haben können.
Zu Beginn erläuterten die Referenten zunächst, was ein Informationssicherheitsmanagementsystem (ISMS) ist und machten deutlich, dass es spätestens durch die neue ISO-Norm kein reines IT-Thema ist, sondern mehrere Bereiche im Unternehmen davon betroffen sind.
Im weiteren Teil des Webinars stellten die RWT-Experten die Änderungen in den einzelnen Bereichen der ISO 27001:2022 vor. So wurden beispielsweise die Kontrollen in vier Kategorien unterteilt:
- Organisatorische Maßnahmen
- Personelle Maßnahmen
- Physische Maßnahmen
- Technologische Maßnahmen
Zugleich kamen neue Kontrollen wie Sicherheitsmaßnahmen für Cloud Services, Business Continuity sowie Kontrollen zur Vorbeugung von Datenverlusten hinzu.
In einer Übergangsphase bis 31. Oktober 2023 ist auch noch eine Zertifizierung nach der alten Norm ISO 27001:2013 möglich. Allerdings müssen alle nach Version 2013 zertifizierten Unternehmen bis spätestens 31. Oktober 2025 auf die Version 2022 umstellen.
Zum Abschluss des Webinars stellten die Referenten heraus, dass die ISO 27001 eine Leitrichtlinie für verschiedene abgeleitete ISMS Systeme oder Derivate ist, wie zum Beispiel TISAX in der Automobilindustrie, und es zu erwarten ist, dass auch diese die neuen Maßnahmen zeitnah adaptieren werden.
Mehr zur neuen ISO-Norm finden Sie auch im Artikel in der RWTkompakt-Ausgabe Dezember 2022.