Die internationale Norm ISO/IEC 27001 ist ein grundlegender Standard der Informationssicherheit. Sie definiert Anforderungen an die Einrichtung, die Umsetzung und die Aufrechterhaltung eines Informationssicherheitsmanagementsystems (ISMS) und dient als Grundlage für eine Zertifizierung.
Ein ISMS unterstützt bei der Wahrung der Schutzziele, Vertraulichkeit, Integrität und Verfügbarkeit von Informationen und gibt Drittunternehmen und Kunden durch eine Zertifizierung die Gewissheit, dass Risiken innerhalb der Informationssicherheit angemessen adressiert werden.
Im Oktober 2022 erschien ISO/IEC 27001 in aktueller Auflage, nachdem ISO/IEC 27002 bereits im April aktualisiert wurde. Die Norm wurde unter dem abgeänderten Namen «Informationssicherheit, Cybersicherheit und Datenschutz – Informationssicherheitsmanagementsysteme – Anforderungen» veröffentlicht und bringt einige Änderungen mit sich, um wieder dem Stand der Technik zu entsprechen (ISO/IEC 27001:2022). Da die vorherige Version bereits 2013 erschienen war, war eine Überarbeitung fällig, um aktuelle Themen widerzuspiegeln. Neben der Anpassung bestehender Massnahmen wurde der Standard auch um neue Massnahmen ergänzt.
Was ist am ISO/IEC 27001 neu und warum wurde es geändert?
Im Titel des neuen Standards ISO/IEC 27001:2022 fällt direkt die Namensänderung auf, denn dort wurde der Begriff «Datenschutz» eingeführt. Dabei ist insgesamt eine Wandlung zu beobachten, wobei vermehrt auch der Bereich des Datenschutzes miteinbezogen wird. Weitere Änderungen im Hauptteil des neuen Standards sind primär sprachlich, verbunden mit einigen Klarstellungen. Der Anhang A von ISO/IEC 27001 sowie dementsprechend ISO/IEC 27002 beinhalten jedoch wesentliche Änderungen. Anfang 2022 wurde zunächst ISO/IEC 27002 aktualisiert, welches als Hilfestellung zur Umsetzung der Massnahmen aus Anhang A von ISO/IEC 27001 dient, um auf aktuelle Gegebenheiten zu reagieren.
Trotz 11 neuer Massnahmen im Annex A von ISO/IEC 27001, welche neue Betrachtungen ins Spiel bringen, wurde die Gesamtanzahl durch die Zusammenlegung von 114 auf 93 reduziert. Auch gibt es statt der bisherigen 14 Kategorien nur noch die 4 folgenden: «People», «Organizational», «Technological» und «Physical». Hierdurch hat sich auch die Anordnung der Massnahmen geändert. Folgende Massnahmen sind neu:
- Threat Intelligence: Erhebung und Analyse von Informationen über Bedrohungen, um daraus Erkenntnisse zu gewinnen.
- Nutzung von Cloud-Diensten: Verfahren für Erwerb, Nutzung, Verwaltung und Ausstieg aus Cloud-Diensten sollten festgelegt werden (in Übereinstimmung mit Informationssicherheitsanforderungen der Organisation)
- Business Continuity: IKT-Bereitschaft auf Grundlage von Business-Continutity-Zielen und IKT-Kontinuitätsplänen planen, umsetzen, aufrechterhalten und prüfen.
- Physische Sicherheitsüberwachung: Räumlichkeiten sollten ständig auf unbefugten physischen Zugang überwacht werden.
- Konfigurationsmanagement: (Sicherheits-)Konfigurationen von Hardware, Software, Diensten und Netzwerken sollten festgelegt, dokumentiert, umgesetzt, überwacht und überprüft werden.
- Löschung von Informationen: Informationen, die in Informationssystemen, Geräten oder auf anderen Speichermedien gespeichert sind, sollten gelöscht werden, wenn sie nicht mehr benötigt werden.
- Datenmaskierung: Datenmaskierung sollte in Übereinstimmung mit den themenspezifischen Richtlinien der Organisation zur Zugangssteuerung und anderen damit zusammenhängenden Richtlinien sowie geschäftlichen Anforderungen und unter Berücksichtigung der geltenden Rechtsvorschriften eingesetzt werden.
- Verhinderung von Datenlecks: Massnahmen zur Verhinderung von Datenlecks sollen auf Systeme, Netzwerke und alle anderen Geräte angewendet werden, die sensible Informationen verarbeiten, speichern oder übertragen.
- Monitoring: Netzwerke, Systeme und Anwendungen sollten auf anormales Verhalten überwacht und geeignete Massnahmen ergriffen werden, um potenzielle Informationssicherheitsvorfälle vorzubeugen.
- Webfilterung: Zugang zu externen Webseiten sollte verwaltet werden, um die Gefährdung durch bösartige Inhalte zu verringern.
- Sicheres Coding: Bei der Softwareentwicklung sollten die Grundsätze der sicheren Kodierung angewandt werden.
Warum ist dieser Standard so wichtig?
Der Hauptgrund, sich für eine Zertifizierung nach ISO/IEC 27001 zu entscheiden, ist die Vermeidung von Sicherheitsbedrohungen. Ausserdem wird mit der Erfüllung der Anforderungen der Norm aufgezeigt, dass das Thema Informationssicherheit in Ihrem Unternehmen ernst genommen wird.
Durch die vorgegebenen Richtlinien wird zusätzlich ein System geschaffen, welches sicherstellt, dass sich alle Mitarbeitenden ihrer Verantwortung gegenüber der Informationssicherheit bewusst ist.
Die Relevanz der neuen Auflage des Standards für bereits zertifizierte Unternehmen liegt darin, dass diese ihr ISMS in einem vorgegebenen Zeitraum auf die neue Norm anpassen müssen, um die Zertifizierung nicht zu verlieren. Dies bedeutet primär, dass die 11 neuen Massnahmen auf ihre Relevanz geprüft und ggf. eingeführt werden müssen. Zusätzlich müssen die Referenzen bereits erstellter Dokumente, wie beispielsweise von Richtlinien und der Erklärung zur Anwendbarkeit (SoA), und deren Inhalt angepasst werden, damit sie mit der neuen Struktur des Standards übereinstimmen.
Was bedeutet die Aktualisierung der ISO/IEC 27001 für Unternehmen?
Falls Sie noch keine Zertifizierung nach ISO/IEC 27001 besitzen, jedoch eine solche anstreben, sollte bestenfalls ein ISMS gleich mitsamt den neuen Massnahmen implementiert werden. Ab Oktober 2023 werden die Zertifizierungsinstanzen Erstzertifizierungen nur noch nach dem neuen Standard durchführen.
Für bereits zertifizierte Unternehmen bedeutet dies, die Fristen im Blick zu behalten und sich bestmöglich schon jetzt mit den neuen Massnahmen auseinanderzusetzen. Konkret heisst das, diese anzupassen und zu aktualisieren sowie einen Projektplan zur Migration zu erstellen. Denn die Implementierung neuer Massnahmen und die Anpassung der Referenzen nimmt einige Zeit in Anspruch und sollte deshalb nicht unterschätzt werden. Das IAF (International Accreditation Forum), welchem auch die Schweizer Akkreditierungsstelle (SAS) unterliegt, schreibt eine Übergangsfrist von 36 Monaten vor. Dies bedeutet, dass bereits zertifizierte Unternehmen bis Oktober 2025 den neuen Standard implementiert haben müssen.
Die Aktualisierung des Standards enthält einige Anpassungen an den Formulierungen, fordert aber keinen komplett neuen Umgang mit dem Thema Informationssicherheit. Der allumfassende Ansatz, welcher mit dem neuen Standard erreicht werden soll, spiegelt sich auch in der Motivation der Oneconsult AG wider. Das Ziel, Informationssicherheit ganzheitlich zu betrachten, entspricht unserer Einstellung.
Streben Sie eine ISO/ICE 27001 Zertifizierung an und können dabei Unterstützung brauchen?
Sind Sie nach ISO/IEC 27001:2013 zertifiziert, haben Sie bereits eine gute Basis für die neue Zertifizierung gelegt und können diese unter entsprechender Beachtung der Vorgaben gut umsetzen. Es bleiben noch drei Jahre Zeit, bis die Neuerungen implementiert werden müssen. Da die Zertifizierung bei einer Nichtimplementierung erlischt, sollte die Aktualisierung jedoch frühzeitig geplant werden.
Sind Sie zum jetzigen Zeitpunkt noch nicht zertifiziert oder befinden sich inmitten des Prozesses, ist es sinnvoll, bereits auch die 11 neuen Massnahmen inklusive der Veränderungen zu implementieren.
Wir unterstützen Sie gerne bei der Implementierung des neuen Standards ISO/IEC 27001 bzw. nötiger Anpassungen – unabhängig davon, ob Sie bereits zertifiziert sind oder nicht. Unsere Spezialisten beraten Sie hinsichtlich des neuen ISO/IEC 27001:2022-Standards gerne. Über Ihre Kontaktaufnahme freuen wir uns: