ISO 27001-Update: Was muss beachtet werden?

Im Oktober 2022 wurde eine neue Version der ISO/IEC 27001 veröffentlicht. Der De-Facto-Standard der Informationssicherheit erfährt damit ein markantes Update in unsicheren Cyberzeiten. So formuliert die neue ISO-Version klare Anforderungen an ein Informationssicherheits-Managementsystem (ISMS). [...]

Foto: krzysztof-m/Pixabay

Dabei liegt der Nutzen von Zertifizierungen in Verbindung mit ISO-Normen in einer globalen Welt auf der Hand: „Eine Zertifizierung setzt Qualität voraus. Sie ist Ausdruck von Kompetenz und sorgt für Vertrauen. Ein echtes Qualitätssiegel,“ erklärt der Zertifizierungsexperte Dr. Jörn Voßbein anlässlich der ISO-Veröffentlichung.

Für die Durchführung der Umstellung auf die neue Norm hat das International Accreditation Forum (IAF) die damit verbundenen Anforderungen für Akkreditierungsstellen, Zertifizierungsstellen und die zu prüfenden Organisationen ebenfalls veröffentlicht (IAF MD 26:2022).

Zu beachten sind dabei, abgesehen von der aktualisierten Struktur, auch die elf neu aufgenommenen Maßnahmen, sowie vor allem der notwendige Handlungsbedarf für die Unternehmen, um die Umstellung erfolgreich zu meistern.

Zunächst ein Blick in die überarbeitete Struktur des Annex A: Die bisherige Themengliederung wurde aufgelöst.

Die Maßnahmen werden zukünftig den vier Abschnitten „Organisatorische Maßnahmen“ (37 Maßnahmen), „Personenbezogene Maßnahmen“ (8 Maßnahmen), „Physische Maßnahmen“ (14 Maßnahmen) und „Technologische Maßnahmen“ (34 Maßnahmen) zugeordnet.

Elf neue Maßnahmen

Drei zentrale Maßnahmen sind Datenmaskierung, Überwachung von Aktivitäten, sowie Informationssicherheit für die Nutzung von Cloud-Diensten. Bei der „Datenmaskierung“ sollen Daten so verändert werden, dass sie für einen Cyberkriminellen keinen oder nur geringen Nutzen haben.

Bei der „Überwachung von Aktivitäten“ geht es um die Überwachung der Unternehmens-IT, um dadurch ungewöhnliches Verhalten früh- und auch rechtzeitig erkennen zu können. Um die Nutzung von Cloud-Lösungen sicherer zu machen, sollen Unternehmen entsprechende Prozesse und Vorkehrungen entwickeln – besagt die Maßnahme „Informationssicherheit für die Nutzung von Cloud-Diensten“.

Was gilt es nun von bereits zertifizierten Unternehmen zu beachten?

Deadline für die Umstellung ist Oktober 2025. Im Herbst 2025 müssen alle alten ISO/IEC 27001:2013 bzw. ISO/IEC 27001:2017-Zertifikate zurückgezogen werden.

Eine Umstellung sollte in jedem Fall vorher erfolgen. Das Audit muss dabei zwingend aus einem Vor-Ort-Audit bestehen und beinhaltet die Inaugenscheinnahme verschiedener Prüfungsfelder.

Wie lange bleibt Zeit?

Unternehmen, die nach ISO/IEC 27001:2013 bzw. ISO/IEC 27001:2017 zertifiziert sind, haben nun drei Jahre Zeit, die Neuerungen umzusetzen.

„Das ISO 27001-Update ist kein Selbstzweck, sondern steigert die Cyber- und Informationssicherheit im eigenen Unternehmen. Die neue Norm ist eine gute Gelegenheit, die internen Prozesse zu prüfen und wo notwendig zu aktualisieren“, weist der erfahrene Informationssicherheitsexperte Dr. Jörn Voßbein auf die Bedeutung der Maßnahme hin.

www.uimc.de

powered by www.it-daily.net


Mehr Artikel

News

KI ist das neue Lernfach für uns alle

Die Mystifizierung künstlicher Intelligenz treibt mitunter seltsame Blüten. Dabei ist sie weder der Motor einer schönen neuen Welt, noch eine apokalyptische Gefahr. Sie ist schlicht und einfach eine neue, wenn auch höchst anspruchsvolle Technologie, mit der wir alle lernen müssen, sinnvoll umzugehen. Und dafür sind wir selbst verantwortlich. […]

Case-Study

Erfolgreiche Migration auf SAP S/4HANA

Energieschub für die IT-Infrastruktur von Burgenland Energie: Der Energieversorger hat zusammen mit Tietoevry Austria die erste Phase des Umstieges auf SAP S/4HANA abgeschlossen. Das burgenländische Green-Tech-Unternehmen profitiert nun von optimierten Finanz-, Logistik- und HR-Prozessen und schafft damit die Basis für die zukünftige Entflechtung von Energiebereitstellung und Netzbetrieb. […]

FH-Hon.Prof. Ing. Dipl.-Ing. (FH) Dipl.-Ing. Dr. techn. Michael Georg Grasser, MBA MPA CMC, Leiter FA IT-Infrastruktur der Steiermärkischen Krankenanstaltengesellschaft m.b.H. (KAGes). (c) © FH CAMPUS 02
Interview

Krankenanstalten im Jahr 2030

Um sich schon heute auf die Herausforderungen in fünf Jahren vorbereiten zu können, hat die Steiermärkische Krankenanstaltengesellschaft (KAGes) die Strategie 2030 formuliert. transform! sprach mit Michael Georg Grasser, Leiter der Fachabteilung IT-Infrastruktur. […]

News

Risiken beim Einsatz von GenAI in vier Schritten senken

Die Themen Datenschutz und Modellverwaltung sind in der Datenwissenschaft zwar nicht neu, doch GenAI hat ihnen eine neue Dimension der Komplexität verliehen, die Datenschutzbeauftragte vor neue Herausforderungen stellt. Die Data-Science-Spezialisten von KNIME haben die Potenziale und Risiken der KI-Nutzung beim Einsatz bei der Datenarbeit zusammengefasst und empfehlen vier Schritte zur Risikominimierung. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*