Der Schutz datentragender täglicher Prozesse, kritischer Daten und geistigen Eigentums vor Cyberangriffen ist mittlerweile für Unternehmen jeder Größenordnung unverzichtbar. Ohne richtig bemessene Sicherheitsvorkehrungen drohen Datenverlust und Datendiebstahl durch Hacker sowie Geschäftsstillstand durch Cyberangriffe.
Die Unterscheidung von irrelevanten Informationen oder kritischen und vertraulichen ist von großer Bedeutung. Damit muss Ihre Organisation die Entscheidung treffen Informationen entsprechend zu klassifizieren. Denn genau darauf bauen die Schutzmaßnahmen eines Informationssicherheits-Managementsystems (ISMS) nach ISO 27001 auf.
ISO 27001 – unverändert relevant
ISO 27001 ist die international führende Norm zur Einführung eines ganzheitlichen Managementsystems für Informationssicherheit. An dieser seit mehr als zwei Jahrzehnten grundlegenden, weltweit anerkannten Prüfgrundlage kommt heute, wenn es um Informationssicherheit geht, kein Unternehmen vorbei.
Sie definiert Anforderungen an den Aufbau, die Einführung, die Umsetzung, die betriebliche Überwachung und die Dokumentation an ein ISMS.
Bestehende Risiken für die Unternehmen werden dabei im Rahmen des erforderlichen Risikomanagements identifiziert und durch passende Maßnahmen behoben. Die Norm betrachtet nicht nur IT-Prozesse. Sie bezieht auch Aspekte der Infrastruktur mit ein: wie Organisation, Personal und Gebäude sowie deren Umfeld.
Struktur für weltweiten Standard
Am 25. Oktober 2022 wurde der neue Bewertungsrahmen für Informationssicherheit, die ISO/IEC 27001:2022 unter dem neuen Titel „Information Security, Cybersecurity and Privacy Protection“ veröffentlicht. Damit korrespondiert die ISO 27001 wieder dem Leitfaden ISO 27002 und entspricht dem Stand der Technik.
Die wichtigsten Änderungen
Insbesondere die Themen Cloud-Nutzung sowie die Anforderungen an Business Continuity Management (BCM) wurden geschärft. Zusätzlichr wurde das Thema „Privacy Protection“ mit einbezogen. D.h., das hier zusätzliche Maßnahmen zu betrachten und realisieren sind.
Darüber hinaus sind nun sämtliche Maßnahmen mit Attributen verknüpft, wodurch die Transparenz erhöht wird und sich Fehlinterpretationen bei der Anwendung reduzieren lassen. Im Vordergrund stehen jetzt die Identifikation, Bewertung und Steuerung von Risiken für die informationsverarbeitenden Prozesse. Die Sicherheit von vertraulichen Informationen wird dabei als bedeutendes strategisches Element hervorgehoben.