Die digitale Welt erlebt einen stetigen Wandel. Neuere Unternehmensmethoden, darunter das Arbeiten im Homeoffice, das Konzept „Bring Your Own Device“ und die Implementierung von Industrie 4.0, um nur einige zu nennen, haben sich etabliert. Dabei werden zunehmend zentrale Geschäftsprozesse auf cloudbasierte und digitale Strukturen umgestellt.
In Reaktion darauf wurden die Standards ISO/IEC 27001 für das Management von Informationssicherheit und ISO/IEC 27002 für Sicherheitskontrollen aktualisiert, um den aktuellen Entwicklungen gerecht zu werden.
Die erste Ausgabe der ISO/IEC 27001 wurde erstmals im Oktober 2005 veröffentlicht. 2013 folgte die erste Aktualisierung der Norm, zunächst in englischer Sprache. Sie ist bekannt als ISO/IEC 27001:2013.
Seit Oktober 2022 ist die neueste Fassung für Unternehmen gültig, sie läuft unter dem Namen ISO/IEC 27001:2022.
Diese Normen umfassen robustere Kontrollmechanismen, die zum Ziel haben, Unternehmen zu ermöglichen, zunehmend anspruchsvolle Sicherheitsrisiken zu bewältigen, die Geschäftskontinuität sicherzustellen und einen Wettbewerbsvorteil zu erzielen.
Indem Sie die Auswirkungen dieser Aktualisierungen auf Ihr Unternehmen schnellstmöglich verstehen, können Sie sicherstellen, dass Ihre Informationen geschützt bleiben und Sie Ihren Wettbewerbsvorteil weiter stärken können.
Was ist die ISO/IEC 27001:2013?
ISO/IEC 27001:2013 ist eine internationale Norm für Informationssicherheitsmanagementsysteme (ISMS). Die Norm legt die Anforderungen an ein ISMS fest, das darauf abzielt, die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen in einem Unternehmen zu gewährleisten.
Die ISO/IEC 27001:2013 Norm definiert einen risikobasierten Ansatz für die Umsetzung von Sicherheitskontrollen und -maßnahmen. Unternehmen, die diese Norm anwenden, sollen systematisch Risiken bewerten und geeignete Sicherheitsmaßnahmen implementieren, um die Risiken auf ein akzeptables Maß zu reduzieren.
Die Schutzmaßnahmen, wie sie in der Norm beschrieben sind, sollen sicherstellen, dass Informationen vor verschiedenen Bedrohungen geschützt werden, einschließlich inakzeptabler und unsachgemäßer Nutzung, Missbrauch, Offenlegung, Veränderung, Verlust und Zerstörung.
Durch die Umsetzung der Anforderungen der ISO/IEC 27001:2013 und die Erlangung der entsprechenden Zertifizierung signalisiert ein Unternehmen, dass es sich aktiv darum bemüht, die Vertraulichkeit, Integrität und Verfügbarkeit seiner Informationen sicherzustellen.
Die strategische Bedeutung der Zuverlässigkeit der Informationsverarbeitung für sichere Geschäftstransaktionen und Entscheidungsprozesse unterstreicht die Notwendigkeit eines ganzheitlichen Ansatzes zur Informationssicherheit in modernen Organisationen. Solche Bemühungen tragen nicht nur zur Risikominderung bei, sondern können auch das Vertrauen von Kunden und anderen Interessengruppen stärken.
Seit Ende 2022 ist eine aktualisierte Version der ISO/IEC 27001 verfügbar. Diese neue Version ersetzt die zuvor etablierte Norm ISO/IEC 27001:2013 nach einer Laufzeit von fast 10 Jahren.
ISO/IEC 27001:2013: Begriffsklärung zu ISO und IEC
Die ISO/IEC 27001 Norm findet man etwa auch unter den Bezeichnungen ISO 27001:2022, ISO/IEC 27001:2013, ISO 27001:2017, ISO 27001 oder ISO/IEC 27001. Um mit der Begriffsverwirrung aufzuräumen, klären wir hier über die Herkunft der verschiedenen Bezeichnungen auf.
„ISO“ steht für International Organization for Standardization (Internationale Organisation für Normung). Die ISO ist eine internationale, regierungsunabhängige Vereinigung von nationalen Normierungsorganisationen aus 167 Mitgliedsstaaten (Stand 2022). Ihre Hauptaufgabe besteht darin, internationale Standards und Normen für eine breite Palette von Anwendungsbereichen zu entwickeln und zu veröffentlichen.
„IEC“ steht für International Electrotechnical Commission (Internationale Elektrotechnische Kommission). Im Gegensatz zur ISO konzentriert sich die IEC ausschließlich auf den Bereich der Elektrotechnik, Elektronik und verwandten Technologien. Die IEC ist spezialisiert auf Normen, die mit elektrischen und elektronischen Aspekten in Verbindung stehen, und deckt somit Bereiche ab, die nicht von der ISO abgedeckt werden.
In Fällen, in denen es notwendig ist, internationale Normen für den Bereich der Informations- und Kommunikationstechnik zu entwickeln, arbeiten die ISO und die IEC zusammen. Hierfür wurde ein gemeinsames technisches Komitee eingerichtet. Ein Beispiel für eine solche normative Zusammenarbeit ist die Norm ISO/IEC 27001:2013, die sich auf Informationssicherheitsmanagement bezieht und die gemeinsame Expertise beider Organisationen in diesem Bereich widerspiegelt.
ISO 27001:2022, ISO/IEC 27001:2017 und ISO/IEC 27001:2013 sind verschiedene Versionen des ISMS Standards. Die Hauptunterschiede liegen in den Aktualisierungen und Änderungen, die in den neueren Versionen von 2017 und 2022 vorgenommen wurden.
ISO/IEC 27001:2013 im Überblick: Was wurde seit 2013 an der ISO 27001 Norm aktualisiert?
Die ISO/IEC 27001:2013 und die Version von 2017 werden gleichzeitig verwendet. Im Jahr 2017 veröffentlichte die IEC jedoch die ISO 27001:2017, die sich nur geringfügig in einigen Formulierungen von der ISO/IEC 27001:2013 unterscheidet.
Diese Unterschiede beziehen sich hauptsächlich auf den Wortlaut und das Layout der Norm, nicht jedoch auf die eigentlichen Anforderungen. Die inhaltlichen Anforderungen blieben unverändert, und auch die Gültigkeit von Zertifizierungen wurde durch das Update nicht beeinflusst.
ISO/IEC 27001:2013: Was ändert sich mit der Aktualisierung auf ISO/IEC 27001:2022
Die ISO/IEC 27001:2013 wurde zuletzt 2022 aktualisiert, damit wird die bisher geltende ISO/IEC 27001:2013 durch die ISO/IEC 27001:2022 ersetzt. Die aktualisierte Version legt einen klaren Schwerpunkt auf die Praxis und hebt Cybersicherheit und Datenschutz bereits im Namen der Norm hervor, was ihre Bedeutung deutlich unterstreicht. Zusätzlich spielt nun auch das Thema Cloudsicherheit eine bedeutende Rolle.
Die ISO/IEC 27001:2022 bringt einige Veränderungen im Vergleich zur vorherigen Version von 2013 mit sich, insbesondere im normativen Anhang A, der die Kontrollen für Informationssicherheit definiert.
Hier finden Sie einige der wesentlichen Änderungen im Vergleich zur vorherigen Version (ISO/IEC 27001:2013):
Allgemeine Änderungen:
Die normativen Kapitel 4-10, die das Grundgerüst des Managementsystems für Informationssicherheit (ISMS) bilden, bleiben nahezu unverändert. Es gibt einige Konkretisierungen und eine Stärkung des PDCA-Zyklus (Plan-Do-Check-Act).
Die editorischen Änderungen beinhalten die Ersetzung des Begriffs „international Standard“ durch „document“ und den Austausch einiger Begriffe im Englischen, um eine einfachere Interpretation zu ermöglichen.
Strukturanpassungen im Anhang A:
Konsolidierung der Unterkapitel: Die Unterkapitel (5-18) wurden von 14 auf 4 reduziert, nämlich „Organizational“, „People“, „Physical“ und „Technological“. Reduzierung der Gesamtzahl der Controls: Die Anzahl der Controls wurde von 114 auf 93 reduziert und die Struktur wurde praxisnäher gestaltet.
Einführung von Konzepten für Attribute zu den Controls:
Es wurden 5 Attribute eingeführt, die sich an der Terminologie des Fachbereichs Informationssicherheit orientieren: Sie heißen „control type“, „information security properties“, „cybersecurity concepts“, „operational capabilities“ und „security domains“. 11 Controls wurden inhaltlich neu hinzugefügt. Einige der neuen Controls umfassen Maßnahmen zur Verhinderung von ungewolltem Datenabfluss, Datenmaskierung, Überwachung von Aktivitäten zur Identifizierung ungewöhnlicher Muster und Sicherheit bei der Nutzung von Clouddiensten zur Gewährleistung der Geschäftskontinuität.
Änderungen in den Kapiteln 4-10 zum ISMS:
Im Großen und Ganzen bleibt das Grundgerüst des ISMS unverändert. Einige Anpassungen können als Schönheitskorrekturen betrachtet werden. Neue Notizen und Definitionen, wie zum Beispiel die Definition des Begriffs „Business“. Ein neues Kapitel 6.3 zur Planung von Änderungen wurde hinzugefügt, um eine strukturierte, gesteuerte Umsetzung von Änderungen sicherzustellen.
Kapitel Leistungsbewertung:
Redaktionelle Änderungen, aber kaum inhaltliche Änderungen. Betonung, dass die Methoden der Leistungsbewertung vergleichbare und reproduzierbare Ergebnisse liefern sollen. Dokumentierte Nachweise müssen verfügbar sein.
Harmonisierung der ISO-Struktur:
Anpassungen wurden vorgenommen, um eine Harmonisierung mit anderen ISO-Normen sicherzustellen, einschließlich der Restrukturierung der Nummerierung und weiterer Anforderungen an allgemeine Managementsystemanforderungen wie Kommunikation.
ISO/IEC 27001:2013: Was bedeutet die Aktualisierung für Unternehmen?
Die Umstellung von ISO/IEC 27001:2013 auf ISO/IEC 27001:2022 bringt für Unternehmen verschiedene Herausforderungen und Anpassungen mit sich. Wir haben konkrete Schritte und Überlegungen, die Unternehmen berücksichtigen sollten, für Sie zusammengefasst:
- GAP-Analyse: Führen Sie eine GAP-Analyse durch, um zu prüfen, inwiefern Ihr bestehendes ISMS den Anforderungen der ISO 27001:2022 entspricht.
- Rezertifizierungstermin festlegen: Legen Sie einen Rezertifizierungstermin entsprechend der ISO 27001:2022 fest.
- Projekt- oder Maßnahmenplan erstellen: Erstellen Sie einen klaren Plan oder Maßnahmenplan für die Umsetzung der erforderlichen Änderungen bis zum geplanten Rezertifizierungsaudit.
- Offene Abweichungen angehen: Planen, zuweisen und terminieren Sie offene Abweichungen aus der GAP-Analyse.
- Umsetzung der neuen Anforderungen: Setzen Sie alle neuen Controls um und stellen Sie sicher, dass das Statement of Applicability (SoA, die „Erklärung zur Anwendbarkeit“) in der neuen Version vorliegt.
Die erfolgreiche Umstellung erfordert eine sorgfältige Planung, klare Kommunikation und die Zusammenarbeit mit den relevanten Akkreditierungsstellen. Unternehmen sollten proaktiv sicherstellen, dass ihre Informationssicherheitsmaßnahmen den aktuellen Standards entsprechen.
ISO/IEC 27001:2013: Bis wann muss die Aktualisierung von ISO/IEC 27001:2013 auf die Version von 2022 erfolgen?
Die Übergangsfrist für die Umstellung von ISO/IEC 27001:2013 auf die neue ISO/IEC 27001:2022 beträgt 36 Monate seit der Veröffentlichung im Oktober 2022, bestehende Zertifikate müssen bis Ende Oktober 2025 angepasst sein. Ein Transitionsaudit kann gleichzeitig mit einem regulären Audit durchgeführt werden. Dies betrifft Unternehmen, die bereits nach den alten Versionen der Norm zertifiziert sind.
.svg)
.svg)
.svg)
.svg){kind=small}