Vor zwei Jahren wurde die ISO 27001 überarbeitet. Seit dem 1. Mai sind nun Erstzertifizierungen und Rezertifizierungen nur noch gemäß der neuen Norm durchführbar. Die neue Version beinhaltet bedeutende Änderungen, die das Ziel verfolgen, die Resilienz und Anpassungsfähigkeit von Organisationen im Hinblick auf Informationssicherheit zu stärken. Dieser Beitrag beleuchtet die wesentlichen Änderungen und bietet Einblicke, wie Unternehmen sich anpassen können.
Die ISO/IEC 27001-Norm ist der weltweit anerkannte Standard für das Informationssicherheitsmanagementsystem (ISMS). Ihre Revisionen sind von entscheidender Bedeutung für Unternehmen, die ihre Informationssicherheit auf dem neuesten Stand halten und potenziellen Sicherheitsbedrohungen proaktiv begegnen wollen. Die aktuellen Änderungen der ISO 27001 zielen darauf ab, die Norm an die schnelllebige digitale Landschaft und die damit verbundenen Sicherheitsrisiken anzupassen. Die Überarbeitung der ISO 27001, nun als „Information Security, Cybersecurity and Privacy Protection“ betitelt, stellt Sicherheit und Datenschutz noch stärker in den Mittelpunkt. Zu den Schlüsseländerungen gehören:
Erweiterte Risikomanagement-Prozesse
Das Herzstück der ISO 27001 bildet das Risikomanagement. Die Überarbeitung legt einen verstärkten Schwerpunkt auf die Identifizierung, Bewertung und Behandlung von Risiken in einem sich ständig verändernden Bedrohungsumfeld. Angesichts der zunehmenden Bedrohungen im Cyberraum hat die International Organization for Standardization (ISO) die Notwendigkeit betont, fortgeschrittene Risikomanagementstrategien einzuführen, die Unternehmen dabei unterstützt, ihre Risikomanagementprozesse effektiv zu aktualisieren, um resiliente und robuste ISMS zu entwickeln.
Stärkung der Führungsebene
Eine der signifikantesten Änderungen ist die verstärkte Einbindung der Unternehmensleitung in die Informationssicherheit. Die Führungskräfte werden in die Pflicht genommen, eine Kultur der Sicherheit zu fördern und die Effektivität des ISMS durch direktes Engagement und Unterstützung zu verbessern.
Anpassung an neue Technologien
In einer Welt, in der neue Technologien rasant entstehen, ist die Anpassung des ISMS an diese Entwicklungen entscheidend. Organisationen müssen mit den Sicherheitsanforderungen neuer Technologien Schritt halten und gleichzeitig Compliance gewährleisten. Die Norm berücksichtigt nun explizit die Sicherheitsaspekte neuer Technologien wie Cloud-Computing, Künstliche Intelligenz und Internet der Dinge (IoT). Deshalb sind weitere Maßnahmen beispielsweise in den Bereichen Threat Intelligence, Secure Coding und Monitoring hinzugekommen. So sind Unternehmen dazu verpflichtet, Daten über potenzielle Gefahren für die Informationssicherheit zu erfassen und zu analysieren. Ebenso müssen sie bewährte Grundsätze des Secure Coding implementieren, um Schwachstellen zu verhindern, die durch unzureichende Kodierungsmethoden verursacht werden könnten. Im Bereich Monitoring werden Richtlinien zur Verbesserung der Netzwerküberwachungsaktivitäten bereitgestellt, um anomales Verhalten zu erkennen und auf Sicherheitsereignisse und -vorfälle reagieren zu können.
Flexibilität und Skalierbarkeit
Die Änderungen reflektieren ein tieferes Verständnis dafür, dass ISMS flexibel und skalierbar sein müssen, um den unterschiedlichen Bedürfnissen und Größen von Organisationen gerecht zu werden.
Erhöhung der Resilienz durch Business Continuity Management (BCM)
Ein durchdachtes Business Continuity Management ist ein wesentlicher Bestandteil beim Aufbau eines ISMS und der Zertifizierung nach ISO 27001. Durch eine effektive Business-Continuity-Planung können Unternehmen sicherstellen, dass der volle Funktionsumfang im Falle unvermeidbarer oder unerwarteter Betriebsunterbrechungen schnellstmöglich wiederhergestellt wird und die Auswirkungen minimiert werden. Diese Planung erfordert eine gründliche Risikobewertung und -analyse sowie die Implementierung von Maßnahmen, die die Integrität, Verfügbarkeit und Vertraulichkeit von Daten gemäß allen relevanten Vorschriften, Gesetzen und Richtlinien gewährleisten.
Die Implementierung der neuen Anforderungen stellt für zahlreiche Organisationen eine Herausforderung dar. Zunächst einmal ist es wichtig, den Überblick über die schützenswerten Daten zu gewinnen bzw. zu behalten und die Lücke zwischen der veralteten Version und der neuen ISO 27001 zu ermitteln. Wenn die spezifischen Anforderungen klar sind, gilt es einen Projektplan mit den umzusetzenden Maßnahmen zu erstellen und das existierende Managementsystem sukzessive zu aktualisieren. Für eine erfolgreiche Umstellung auf die aktuelle Norm müssen alle am Prozess Beteiligten während der Umsetzungsphase mit einbezogen werden, sodass am Ende der Auditierung nichts im Wege steht. Materna berät u. a. bei der Einführung oder Aktualisierung eines ISMS gemäß ISO 27001, führt Reifegradbestimmungen inkl. Erstellung eines Maßnahmenplans durch, unterstützt bei der Erstellung der ISMS-Sicherheitsdokumentation oder der Umsetzung technischer Sicherheitsmaßnahmen, führt interne Audits durch und begleitet Sie durch Ihr externes Zertifizierungsaudit.
Weiterführende Informationen: Informationssicherheit und ISMS oder Cyber-Sicherheits-Check
