ISO/IEC 27001: Der führende IT-Sicherheitsstandard wurde reformiert
Data Privacy von Ioannis Dimas
Die weltweit führende Norm ISO/IEC 27001 zur Etablierung eines Informationssicherheitsmanagementsystems (ISMS) wurde aktualisiert, um den modernen Anforderungen unserer digitalisierten Gesellschaft besser gerecht zu werden.
Die ISO/IEC 27001 diente bereits in der Vergangenheit als Basis und Wegbereiter für andere Informationssicherheitssysteme, wie beispielsweise der TISAX® . Auch der Gesetzgeber hat sich schon von der ISO/IEC 27001 inspirieren lassen und die etablierten und bewährten Methoden aus der Norm in die EU Datenschutz-Grundverordnung (DS-GVO) einfließen lassen.
Mithilfe der ISO/IEC 27001 Normreihe lässt sich ein ISMS unabhängig von der Unternehmensgröße etablieren. Nun wurde die Norm reformiert und der Standard ISO/IEC 27001:2022 veröffentlicht.
Übergangsfrist bis zum 31.10.2025
Die Norm ISO/IEC 27001:2023 bildet zukünftig die Grundlage für Zertifizierungen eines ISMS. Für die Umstellung der auf Basis der DIN EN ISO/IEC 27001:2013 einschließlich
Cor 1:2014 und Cor 2:2015 bzw. DIN EN ISO/IEC 27001:2017 ausgestellten Zertifikate auf die ISO/IEC 27001:2023 wurde eine Umstellungsfrist von 3 Jahren festgelegt. Bereits zertifizierte Unternehmen haben somit bis zum 31.10.2025 Zeit, auf die neue Norm umzustellen. Zertifikate, die auf der Grundlage der alten Norm ausgestellt wurden, verlieren ab diesem Datum ihre Gültigkeit. ISO/IEC 27001:2023 ist keine vollständig überarbeitete Ausgabe. Maßgebliche Änderungen haben wir Ihnen unten aufgeführt.
Die Gründe für die Normaktualisierung
Die fortschreitende Entwicklung in der Technologie erfordert eine permanente Anpassung der eigenen Unternehmensinfrastruktur, der organisatorischen und prozessualen Vorgaben im Unternehmen. Immer mehr Aktivitäten und Prozesse, die bisher in den eignen vier Wänden des Unternehmens stattfanden, werden zu Dienstleistern oder in die Cloud ausgelagert.
Damit ergeben sich neue und ausgeprägtere Bedrohungen auf IT-Systeme und Prozessabläufe. Aber auch die Norm selbst, sollte in eine Struktur überführt werden, die bereits von anderen ISO-Normen verwendet werden und somit diese Normen alle harmonisiert werden.
Angepasste Punkte
- Die in der ISO/IEC 27001 aufgeführten Informationssicherheitsmaßnahmen wurden überarbeitet, und umstrukturiert. Die bisherige Anzahl von 114 Informationssicherheitsmaßnahmen wurden auf 93 reduziert und in vier Hauptkategorien zugeordnet:
◦ Organisatorische Maßnahmen
◦ Personenbezogene Maßnahmen
◦ Physische Maßnahmen
◦ Technologische Maßnahmen - Stärkung des Schutzes von personenbezogenen Daten durch die Hinzuziehung von weiteren Maßnahmen, um dies zu gewährleisten.
- Verbesserte und verschärfte Anforderungen, um die Nutzung von Clouddiensten und -Produkten sicher und rechtskonform zu verwenden.
- Maßnahmen zur Sicherstellung des Business Continuity Management (BCM) – Betriebliches Kontinuitätsmanagement.
- Prozessorientierung – . Beispielsweise Maßnahmen zur Definition und Einhaltung von Prozesskriterien und der Prozessteuerung.
- Risikobewertung und -behandlung.
- Klarer und transparenter Umgang mit Informationen.
- Regelungen zur Kommunikation – wer darf, was, wann und mit wem kommunizieren?
- Neustrukturierung von Internen Audits und Managementbewertungen und Berichtswesen.
- Kontinuierliche Verbesserung / Kontinuierlicher Verbesserungsprozesses (KVP).
Bedeutung der Norm für Organisationen (Unternehmen, Behörden, Institutionen etc.)
Das bisher etablierte ISMS muss ggf. an die neue Normstruktur der ISO/IEC 27001 angepasst werden. Das schlägt sich hauptsächlich in der Formulierung der organisationseigenen "Erklärung zur Anwendbarkeit" (Statement of Applicability (SoA)) sowie der Dokumentation nieder, das bedeutet nicht, dass komplett alles über Bord geworfen werden muss und neu erdacht wird, sondern dass Anpassungen vorgenommen werden müssen.
Unternehmen, die noch nicht zertifiziert wurden oder die demnächst vor einer Rezertifizierung stehen, sollten die Chance nutzen, sich nach der aktuellen neustrukturierten Fassung der Norm zertifizieren zu lassen.
Die Umsetzung der ISO/IEC 27001, bietet auch eine hervorragende Grundlage um die Anforderungen und Vorgaben der DS-GVO und der EU NIS 2 Richtlinie umzusetzen.
Vorteile durch die Umsetzung der Norm und Zertifizierung nach ISO/IEC 27001
- Wirksame und dokumentierte IT-Sicherheit in Ihrem Unternehmen
- Schutz von Informationen durch auf den Stand der Technik beruhenden Maßnahmen
- (Schutz von internen Daten, Konstruktionsunterlagen, Produktions- und Verfahrenstechniken usw.)
- Vermeidung externer Audits auf Initiative von Vertragspartnern und damit Offenlegung interner Prozesse
- Dokumentierte und revisionsgerechte Zugriffsrechteverwaltung
- Positive Außenwirkung gegenüber Kunden, Lieferanten, Investoren und weiteren Bezugsgruppen und dadurch Umsatz- und Gewinnzuwachs durch höheres Vertrauen
- Erfüllung der Voraussetzung für die Neukundengewinnung
- Absicherung des Managements bei Haftungsfragen
Für weiter Fragen stehen wir Ihnen selbstverständlich gerne zur Verfügung. Kommen Sie gerne auf uns zu!