03/2023 – Fachartikel Swiss Infosec AG
Die internationale Norm für Informationssicherheits-Managementsysteme (ISMS) – die ISO 27001:2022 – bietet Unternehmen einen Rahmen für das Risikomanagement und den Schutz vor Bedrohungen, um die Vertraulichkeit, Integrität und die Verfügbarkeit von Informationen (ungeachtet der Art ihrer Darstellung und Speicherung) sicherzustellen.
In der heutigen Zeit muss das Thema Informationssicherheit mit hoher Priorität auf der Agenda aller Unternehmen stehen. Mit dem Aufkommen immer neuer Szenarien, wie beispielsweise die Einführung von digitalen Technologien wie Cloud und Automatisierung oder die sich verändernde Bedrohungslandschaft durch neue Arten von Ransomware und Malware, erhöht sich auch die Dringlichkeit. Unternehmen müssen strukturiert Bedrohungen und daraus entstehende Risiken bewerten.
Da Unternehmen immer stärker auf die Cloud und Digitalisierung angewiesen sind, müssen Änderungen am Informationssicherheits-Managementsystem umgesetzt werden, um nicht nur konform zu bleiben, sondern auch die Informationssicherheit an die neuen Bedrohungen und Gegebenheiten anzupassen. Eine Aktualisierung der Norm aus dem Jahr 2013 war also notwendig, um die Unternehmen bei der Steuerung neuer Szenarien zu unterstützen und sicherzustellen, dass ihre Sicherheitsprozesse auf dem neuesten Stand sind.
Überarbeitung aufgrund veränderter Bedrohungsszenarien
Die überarbeitete Version der ISO 27001:2022 bezieht sich auf eben die eingangs erwähnten neuen Szenarien, mit denen Unternehmen konfrontiert sind. Insbesondere betrifft die Überarbeitung den Anhang A, der nach der Veröffentlichung des Standards ISO 27002:2022 im ersten Quartal 2022 zu erwarten war. Dem Standard ISO 27002:2022 wurden neue Sicherheitsmassnahmen hinzugefügt, andere wurden gestrichen oder zusammengeführt und Aspekte der Cybersicherheit und des Datenschutzes wurden ebenfalls aktualisiert.
Die Struktur wurde in vier Themenbereiche (anstelle 14 in der vorherigen Ausgabe) zusammengefasst:
- Organisatizational Controls mit 37 Massnahmen
- People Controls mit 8 Massnahmen
- Physical Controls mit 14 Massnahmen
- Technological Controls mit nochmals 34 Massnahmen
Die Formulierung der Massnahmen wurde überarbeitet und um zusätzliche Hinweise ergänzt, die Unternehmen bei der Risikobewältigung unterstützen. So kann sichergestellt werden, dass keine Aspekte übersehen werden und die Nachvollziehbarkeit entsprechend gewährleistet werden kann.
Aufgrund der Veröffentlichung der letzten Version im Jahr 2013 sind die Änderungen an den Sicherheitsmassnahmen in der neuen Version ISO 27002:2022 relativ umfangreich. Die Anzahl der insgesamt aufgeführten Massnahmen (Controls) wurde von 114 auf 93 reduziert. Neben 11 neuen Controls wurden diverse aktualisiert, zusammengelegt und neu strukturiert.
Ausserdem wird in der neuen Version jede Massnahme in fünf verschiedene Attribute eingestuft:
- Kontrolltyp (Preventive, Detective, Corrective)
- Eigenschaft der Informationssicherheit (Confidentiality, Integrity, Availability)
- Cybersicherheitskonzepte (Identify, Protect, Detect, Respond, Recover)
- Operative Fähigkeiten (z.B. Governance, IAM, Physical Security etc.)
- Sicherheitsdomänen (Governance and Ecosystem Protection, Defence, Resilience)
Unternehmen müssen also ihre Sicherheitsmassnahmen anpassen und die Risikobeurteilung neu durchführen, um die Anforderungen zu erfüllen.
Die Übergangsfristen im Auge halten
Ende Oktober 2022 wurde die neue Ausgabe von ISO 27001:2022 veröffentlicht. Das bedeutet, dass Unternehmen innerhalb eines Zeitraumes von 3 Jahren, bis 31.10.2025, auf die neue Norm umstellen müssen. Was heisst das konkret für bestehende oder neue Zertifizierungen?
- Zertifizierungen nach ISO 27001:2013 sind längstens gültig bis 31.10.2025
- Erst- und Rezertifizierungen erfolgen ab 30.04.2024 nur noch nach ISO 27001:2022
Der Wechsel von ISO 27001:2013 zu ISO 27001:2022 kann im Rahmen eines geplanten Aufrechterhaltungs- oder Re-Zertifizierungsaudit oder im Rahmen eines dedizierten Audits durchgeführt werden.
Frühzeitige Planung der Aktualisierungen
Wir empfehlen Ihnen dringend, frühzeitig mit den Vorbereitungen für die Umstellung auf die neue Version zu beginnen und die notwendigen Änderungen in Ihr ISMS zu integrieren. Hier sind einige empfohlene Schritte, die Sie befolgen sollten:
- Empfehlung Nr. 1: Machen Sie sich mit den Inhalten und Anforderungen der neuen Norm ISO 27001:2022 und des neuen Standards ISO 27002:2022 vertraut, insbesondere mit den Änderungen, die der überarbeitete Standard mit sich bringt.
- Empfehlung Nr. 2: Stellen Sie sicher, dass die zuständigen Mitarbeitenden im Unternehmen geschult sind und die Anforderungen und wichtigsten Änderungen verstehen.
- Empfehlung Nr. 3: Identifizieren Sie eventuelle Lücken in Ihrem aktuellen ISMS und erstellen Sie basierend auf der Gap-Analyse einen Umsetzungsplan, um die neuen Anforderungen zu erfüllen.
- Empfehlung Nr. 4: Setzen Sie die erforderlichen Massnahmen um und aktualisieren Sie Ihr ISMS entsprechend, um sicherzustellen, dass es den neuen Anforderungen entspricht.
Unabhängig davon, ob das ISMS Ihres Unternehmens bereits nach ISO 27001 zertifiziert ist oder ob Sie den Standard neu einführen wollen, können wir Sie mit Best Practice-Lösungen unterstützen.
Kontaktieren Sie uns und erfahren Sie in einem unverbindlichen Beratungsgespräch, was unsere Spezialistinnen und Spezialisten für Sie tun können: +41 41 984 12 12, infosec@infosec.ch
Swiss Infosec AG; 20.02.2023
Kompetenzzentrum Consulting