Was ist die ISO/IEC 27001 und was sind die wichtigsten Änderungen?
Die ISO/IEC 27001:2022 ist ein international anerkannter Standard für Informationssicherheitsmanagementsysteme (ISMS), der Unternehmen dabei hilft, ihre Informationen zu schützen und sicher zu verwalten. Die neue Version der ISO/IEC 27001 enthält eine Reihe von Aktualisierungen, die die aktuellen Bedrohungen im Bereich der Informationssicherheit berücksichtigen. Dazu gehören unter anderem die Berücksichtigung von Risiken aus der Nutzung von Cloud-Diensten und anderen Outsourcing-Dienstleistungen sowie der Umgang mit Bedrohungen durch künstliche Intelligenz und Machine Learning. Außerdem wird ein stärkerer Fokus auf die Rolle des Managements und die Schaffung einer Sicherheitskultur im Unternehmen gelegt.
Die wichtigsten Änderungen der ISO/IEC 27001:2022 sind:
- Erweiterter Anwendungsbereich: Die ISO/IEC 27001:2022 bezieht sich nun auch auf die Verarbeitung von Informationen in der Cloud und auf die Nutzung von Outsourcing-Dienstleistungen.
- Integration von Risikobewertung in den gesamten Lebenszyklus des Informationssicherheitsmanagements: Die neue Version betont die Bedeutung der kontinuierlichen Risikobewertung im gesamten Lebenszyklus des Informationssicherheitsmanagements und erfordert, dass Unternehmen in der Lage sind, schnell auf neue Risiken zu reagieren.
- Neue Anforderungen an das Management: Die Rolle des Managements wird gestärkt, indem es verpflichtet wird, ein Sicherheitsmanagementprogramm einzuführen und zu unterstützen, dass die Schaffung einer Sicherheitskultur im Unternehmen fördert.
- Neue Anforderungen an den Schutz personenbezogener Daten: Die neue Version der ISO/IEC 27001 legt mehr Wert auf den Schutz personenbezogener Daten und verlangt von Unternehmen, dass sie sicherstellen, dass personenbezogene Daten gemäß den geltenden Datenschutzbestimmungen behandelt werden.
- Neue Anforderungen an den Umgang mit Bedrohungen durch künstliche Intelligenz und Machine Learning: Die ISO/IEC 27001:2022 verlangt von Unternehmen, dass sie in der Lage sind, Risiken im Zusammenhang mit dem Einsatz von künstlicher Intelligenz und Machine Learning zu identifizieren und zu bewerten.
Die ISO/IEC 27002:2022 ist ein Leitfaden, der Unternehmen dabei hilft, die Anforderungen der ISO/IEC 27001 umzusetzen. Der Leitfaden enthält bewährte Methoden und Empfehlungen zur Umsetzung von Risikoreduzierungsmaßnahmen, die dazu beitragen, eine höhere Sicherheit von Informationen zu gewährleisten. Die aktualisierte Version der ISO/IEC 27002 enthält nun zusätzliche Empfehlungen zur Umsetzung von Sicherheitskontrollen, einschließlich solcher, die speziell auf den Schutz von Cloud-basierten Systemen und Anwendungen ausgerichtet sind.
Die wichtigsten Änderungen der ISO/IEC 27002:2022 sind:
- Erweiterter Anwendungsbereich: Die neue Version der ISO/IEC 27002 bezieht sich nun auch auf die Verarbeitung von Informationen in der Cloud und auf die Nutzung von Outsourcing-Dienstleistungen.
- Neue Anforderungen an die Risikobewertung: Die ISO/IEC 27002:2022 betont die Bedeutung der kontinuierlichen Risikobewertung und erfordert, dass Unternehmen in der Lage sind, schnell auf neue Risiken zu reagieren. Die neue Version enthält auch eine erweiterte Liste von Risikobehandlungsmaßnahmen.
- Neue Anforderungen an die Mitarbeiter: Die ISO/IEC 27002:2022 legt mehr Wert auf die Rolle der Mitarbeiter und verlangt von Unternehmen, dass sie Schulungen und Sensibilisierungsmaßnahmen zum Thema Informationssicherheit durchführen.
- Neue Anforderungen an die Technologie: Die neue Version der ISO/IEC 27002 enthält aktualisierte Anforderungen an die technischen Aspekte des Informationssicherheitsmanagements, insbesondere im Hinblick auf die Sicherheit von Cloud-Diensten und die Verwendung von Verschlüsselung.
- Integration von neuen Technologien: Die ISO/IEC 27002:2022 berücksichtigt auch den Einsatz neuer Technologien wie künstliche Intelligenz und Machine Learning und legt Anforderungen an den Umgang mit den damit verbundenen Risiken fest.
Die ISO/IEC 27001 Norm wurde im Oktober 2022 in einer aktualisierten Version veröffentlicht. Bestehende Zertifizierungen nach der ISO/IEC 27001:2013 bzw. DIN EN ISO/IEC 27001:2017 haben eine Übergangsfrist von drei Jahren, um auf die neue Norm umzusteigen. Diese Frist endet am 31.Oktober 2025. Ab dem 1.Mai 2024 müssen sämtliche Erst- und Rezertifizierungen gemäß der neuen ISO/IEC 27001 Norm durchgeführt werden. Bitte beachten Sie, dass die Umstellung auf die neue Norm erheblichen Aufwand bedeuten kann und es ratsam ist, frühzeitig damit zu beginnen.
Wie Sie profitieren?
Aktualisieren Sie Ihre ISO/IEC 27001-Zertifizierung und bleiben Sie wettbewerbsfähig
Die neuen Versionen der Normen ISO/IEC 27001 und ISO/IEC 27002 wurden endlich veröffentlicht, und für bereits zertifizierte Unternehmen bedeutet dies eine Anpassung an die neuen Normen, um auch weiterhin von der ISO/IEC 27001-Zertifizierung profitieren zu können. Wir bei DEUDAT GmbH wissen, wie wichtig es ist, mit der Zeit zu gehen, um wettbewerbsfähig zu bleiben. Deshalb bieten wir Ihnen jetzt die Möglichkeit, Ihre Zertifizierung erfolgreich zu aktualisieren.
Die Anpassung an die neue Norm erfordert nicht nur eine Aktualisierung Ihrer Dokumente, sondern auch eine Neubewertung von Risiken und Risikominimierungsmaßnahmen sowie die Umsetzung von neuen Maßnahmen gemäß ISO/IEC 27002:2022. Aber keine Sorge, wir haben uns bereits erfolgreich mit dem Thema der Migration auf die neue Version der ISO/IEC 27001 auseinandergesetzt und stehen bereit, Sie bei dieser Aufgabe zu unterstützen und stehen Ihnen bei allen Fragen zur Verfügung.