ISO 27001:2022 – Die neue Norm und ihre Auswirkungen!

Siegel ISO 27001

„Auf den aktuellen Stand gebracht“: Kurzgefasst war das unser erster Gedanke, nachdem die ISO die neue Fassung des Standards ISO 27001:2022 (international führende Norm für Informationssicherheits-Managementsysteme) Ende Oktober offiziell freigegeben hat.

Wenn man bedenkt, dass diese Revision satte neun Jahre auf sich hat warten lassen, so versteht man auch, wie wuchtig diese Änderungen für Unternehmen sein werden. Relevant ist die neue Fassung für alle Unternehmen, die sich in den nächsten drei Jahren rezertifizieren müssen und für Unternehmen, die sich erstmals nach der ISO 27001:2022 zertifizieren lassen.

In der Version 2022 wurden die Kontrollen in vier Kategorien unterteilt:

  • Organisatorische Maßnahmen
  • Personelle Maßnahmen
  • Physische Maßnahmen
  • Technologische Maßnahmen

Zugleich wurden neue Kontrollen wie Sicherheitsmaßnahmen für Cloud Services, Business Continuity, Kontrollen zur Vorbeugung von Datenverlusten usw. aufgenommen. An diesen Änderungen wird deutlich, dass die neue Norm die Risikobetrachtung aus dem Cyberraum in den Vordergrund stellt. Die neu eingeführten Attribute, „Identify, Protect, Detect, Respond und Recover“ sind für Experten aus der Cybersicherheitswelt wohlbekannt. Die Sicherheitsrisikobetrachtung bekommt in der neuen ISO 27001:2022 zusätzlichen Raum und ist wesentlicher Bestandteil in der Beurteilung eigener Risiken und damit auch der abgeleiteten Maßnahmen.

Doch warum ist diese Änderung für alle Unternehmen von großer Bedeutung?

Die ISO 2700x-Normenfamilie stellt auch für verschiedene branchenspezifischen Informationssicherheitsstandards, wie zum Beispiel die TISAX als Norm in der Automobilwirtschaft, die Basis dar. Es ist zu erwarten, dass auch diese Normen die neuen Maßnahmen zeitnah adaptieren werden. Versicherungen werden bei der Restrisikoversicherung einer Cyberattacke (sogenannte „Cyberversicherung“) von den Unternehmen fordern, die neuen Maßnahmen wie beispielsweise des „Threat Intelligence“ oder des „Physical Security Monitoring“ zu etablieren.

Auch wenn die Umsetzung viel Arbeit bedeutet und sicherlich Ressourcen binden wird, so ist es dennoch folgerichtig die Risiken aus dem Cyberraum als Chefsache zu verstehen und entsprechende Maßnahmen zu ergreifen. Denn das größte „Klumpenrisiko“ für ein Unternehmen ist der langfristige Ausfall der eigenen Unternehmens-IT.

Planen Sie als Unternehmer sich den neuen Standards zu widmen oder einzelne Kontrollmaßnahmen zu Ihren eigenen zu machen, so stehen unsere Experten der IT Consulting zur Verfügung.

Im Webinar am 6. Dezember 2022 werden die Neuerungen in der ISO 27001:2022 im Detail vorgestellt. Melden Sie sich hier an.

zurück zur Ausgabenübersicht

Ausgabe 12/2022

IT & Cyber Security Sprechstunde

Wir bieten freitags von 9 - 10 Uhr eine kostenlose Sprechstunde nach Voranmeldung an. 

zur Anmeldung per E-Mail

Kontakt

Rafael Robert Gawenda

Assoziierter Partner, Geschäftsführer
Process Performance & Security

+49 711 319400-138
E-Mail