Die ISO/IEC 27001: Änderungen und Anpassungsbedarf für Unternehmen
Die ISO/IEC 27001 hat ein Update bekommen. Obwohl dies bereits etwas zurückliegt, sind Audits erst seit dem 01.05.2024 verpflichtend nach der neuen Norm durchzuführen, was bedeutet, dass bestehende, zertifizierte Informationssicherheitsmanagementsysteme (ISMS) angepasst werden müssen. Doch welche Änderungen bringt die aktualisierte Norm konkret mit sich?
Der internationale Standard für ISMS, die ISO/IEC 27001, wurde 2022 aktualisiert, um den wachsenden Herausforderungen der digitalen Welt gerecht zu werden. Die wichtigste Änderung ist die Reduzierung der Controls von 114 auf 93. Diese Verringerung bedeutet jedoch keineswegs weniger Sicherheit. Sie steht vielmehr für eine Konsolidierung und Modernisierung der bestehenden Controls, um Redundanzen zu beseitigen und aktuelle Bedrohungen stärker in den Fokus zu rücken. Zudem wurde die Struktur von einer „High-Level-Structure“ in eine „Harmonized Structure“ überführt, um ISO-Managementsysteme generell stärker zu harmonisieren.
Was sind Controls in der ISO/IEC 27001?
In der ISO/IEC 27001 bezeichnen Controls spezifische Maßnahmen, Prozesse oder Vorgaben, die in einem Informationssicherheitsmanagementsystem (ISMS) implementiert werden, um Risiken zu mindern und die Informationssicherheit im Unternehmen zu gewährleisten. Sie dienen als Leitlinien, die helfen, Sicherheitslücken zu schließen und potenzielle Bedrohungen abzuwehren. Controls können dabei organisatorische, technische, personelle oder physische Maßnahmen umfassen und sind darauf ausgelegt, ein hohes Sicherheitsniveau auf allen Ebenen zu gewährleisten.
Neue Struktur der Controls
Die bisher in 14 Abschnitte gegliederten Controls wurden in vier Hauptkategorien zusammengefasst:
1. Organisatorische Controls (37 Controls): Dazu gehören Richtlinien, Verfahren und Prozesse, die das Informationssicherheitsmanagement auf organisatorischer Ebene regeln.
2. Personenbezogene Controls (8 Controls): Diese konzentrieren sich auf den menschlichen Faktor, darunter Schulungen, Bewusstsein sowie Rollen und Verantwortlichkeiten in Bezug auf Informationssicherheit.
3. Physische Controls (14 Controls): Hierunter fallen Maßnahmen zum Schutz physischer Vermögenswerte und Einrichtungen, wie Zutrittskontrolle und Umgebungsabsicherung.
4. Technologische Controls (34 Controls): Technische Sicherheitsmaßnahmen, einschließlich Netzwerksicherheit, Zugriffskontrollen und Kryptografie, werden in dieser Kategorie behandelt.
Einführung neuer Controls
Um aktuellen technologischen Entwicklungen und Bedrohungen gerecht zu werden, wurden elf neue Controls eingeführt:
- Bedrohungsinformationen: Proaktive Sammlung und Analyse von Informationen über aktuelle Bedrohungen, um Sicherheitsmaßnahmen entsprechend anzupassen.
- Informationssicherheit für die Nutzung von Cloud-Diensten: Spezifische Anforderungen für die sichere Nutzung von Cloud-Technologien und -Diensten.
- IKT-Bereitschaft für die Geschäftskontinuität: Sicherstellung, dass Informations- und Kommunikationstechnologie (IKT) auch bei Störungen oder Notfällen verfügbar bleibt.
- Physische Sicherheitsüberwachung: Einsatz von Überwachungstechnologien zur physischen Sicherung von Einrichtungen.
- Konfigurationsmanagement: Standardisierte Prozesse für die Verwaltung von Systemeinstellungen, um Konsistenz und Sicherheit zu gewährleisten.
- Löschung von Informationen: Sichere und endgültige Entfernung von Daten, um unbefugten Zugriff zu verhindern.
- Datenmaskierung: Schutz sensibler Daten durch Verschleierung oder Anonymisierung, insbesondere in Test- oder Entwicklungsumgebungen.
- Verhinderung von Datenverlust: Technologien und Prozesse zur Vermeidung unbeabsichtigter oder böswilliger Datenabflüsse.
- Überwachung von Aktivitäten: Kontinuierliche Überwachung von Systemaktivitäten zur frühzeitigen Erkennung von Anomalien oder Sicherheitsvorfällen.
- Webfilterung: Kontrolle des Zugriffs auf Webinhalte, um Risiken durch schädliche oder unangemessene Websites zu minimieren.
- Sicheres Programmieren: Integration von Sicherheitspraktiken in den Softwareentwicklungszyklus, um Schwachstellen von Anfang an zu vermeiden.
Was bedeutet das für Unternehmen mit einem ISMS nach ISO/IEC 27001:2013?
Unternehmen, die bereits ein ISMS nach der alten Norm betreiben, stehen nun vor der Aufgabe, dieses an die neuen Anforderungen anzupassen. Folgende Schritte sind empfehlenswert:
1. Durchführung einer Gap-Analyse: Identifizieren Sie die Unterschiede zwischen Ihrem aktuellen ISMS und den Anforderungen der neuen Norm, um zu erkennen, welche Bereiche aktualisiert werden müssen.
2. Anpassung der Dokumentation: Überarbeiten Sie Ihre Richtlinien, Verfahren und Prozesse, um sie mit den neuen Controls und Kategorien in Einklang zu bringen.
3. Schulung und Sensibilisierung: Informieren Sie Ihre Mitarbeitenden über die Änderungen und bieten Sie Schulungen an, insbesondere zu den neuen Controls und deren Bedeutung im Arbeitsalltag.
4. Überprüfung von Verträgen und Vereinbarungen: Stellen Sie sicher, dass Verträge mit Lieferanten und Partnern die neuen Anforderungen berücksichtigen, besonders wenn es um Cloud-Dienste oder externe Dienstleister geht.
5. Technologische Aktualisierungen: Bewerten Sie, ob technische Maßnahmen wie Datenmaskierung oder Aktivitätsüberwachung implementiert werden müssen, und planen Sie entsprechende Investitionen.
6. Kommunikation mit der Zertifizierungsstelle: Setzen Sie sich frühzeitig mit Ihrer Zertifizierungsstelle in Verbindung, um den Übergang zu planen und offene Fragen zu klären.
Warum ist die Anpassung wichtig?
Die Aktualisierung der ISO/IEC 27001 ist nicht nur eine formale Angelegenheit. Sie spiegelt die neuesten Entwicklungen in der Informationssicherheit wider und hilft Unternehmen, sich gegen moderne Bedrohungen zu wappnen. Ohne die Anpassung riskieren Unternehmen nicht nur ihre Zertifizierung, sondern setzen sich auch erhöhten Sicherheitsrisiken aus.
Ihre Unterstützung bei der Anpassung an die neue ISO/IEC 27001
Die Anpassung an die aktualisierte ISO/IEC 27001 ist ein entscheidender Schritt, um Ihr Unternehmen für künftige Sicherheitsanforderungen zu rüsten. Mit unserer erfahrenen ISMS-Beratung helfen wir Ihnen, alle relevanten Schritte umzusetzen – von der Gap-Analyse bis zur praktischen Implementierung und Schulung. Gemeinsam sichern wir Ihre Informationswerte und sorgen für nachhaltigen Schutz gegen moderne Bedrohungen. Erfahren Sie mehr über unsere Leistungen und Vorteile hier