If-Blueprint erneut ISO 27001 zertifiziert

ISO 27001 – unverändert relevant

Der Schutz datentragender täglicher Prozesse, kritischer Daten und geistigen Eigentums vor Cyberangriffen ist mittlerweile für Unternehmen jeder Größenordnung unverzichtbar. Ohne richtig bemessene Sicherheitsvorkehrungen drohen Datenverlust und Datendiebstahl durch Hacker sowie Geschäftsstillstand durch Cyberangriffe.

Die Unterscheidung von irrelevanten Informationen oder kritischen und vertraulichen ist von großer Bedeutung. Damit muss Ihre Organisation die Entscheidung treffen Informationen entsprechend zu klassifizieren. Denn genau darauf bauen die Schutzmaßnahmen eines Informationssicherheits-Managementsystems (ISMS) nach ISO 27001 auf.

ISO 27001 – unverändert relevant 

ISO 27001 ist die international führende Norm zur Einführung eines ganzheitlichen Managementsystems für Informationssicherheit. An dieser seit mehr als zwei Jahrzehnten grundlegenden, weltweit anerkannten Prüfgrundlage kommt heute, wenn es um Informationssicherheit geht, kein Unternehmen vorbei.
Sie definiert Anforderungen an den Aufbau, die Einführung, die Umsetzung, die betriebliche Überwachung und die Dokumentation an ein ISMS.
Bestehende Risiken für die Unternehmen werden dabei im Rahmen des erforderlichen Risikomanagements identifiziert und durch passende Maßnahmen behoben. Die Norm betrachtet nicht nur IT-Prozesse. Sie bezieht auch Aspekte der Infrastruktur mit ein: wie Organisation, Personal und Gebäude sowie deren Umfeld.

Struktur für weltweiten Standard

Am 25. Oktober 2022 wurde der neue Bewertungsrahmen für Informationssicherheit, die ISO/IEC 27001:2022 unter dem neuen Titel „Information Security, Cybersecurity and Privacy Protection“ veröffentlicht. Damit korrespondiert die ISO 27001 wieder dem Leitfaden ISO 27002 und entspricht dem Stand der Technik.
 

Die wichtigsten Änderungen

• High Level Structure (HLS) wird zur Harmonized Structure (HS): Mit der Harmonized Structure wird mit Hilfe der ISO 27001 der Grundstein gelegt, um künftige ISO-Managementsystemnormen noch weiter zu harmonisieren. So gibt einige Ergänzungen und Streichungen sowie Klarstellungen gegenüber der Vorgänger-Norm.
• Insbesondere wird im Abschnitt 6.3 präzisiert, dass Änderungen an Informationssicherheitsmanagementsystemen mit allen ihren Abhängigkeiten und Wirkungen geplant und damit beherrscht umzusetzen sind – so beispielsweise auch anzuwenden bei der Umstellung auf die neue Norm.
• Maßnahmen, die auf die aktuelle Organisation und ihre Bedrohungen abgestimmt sind: Während die alte Version noch 114 Maßnahmen enthielt – gegliedert in 14 Bereiche – ist die neue Version, mit 93 Maßnahmen über vier Bereiche deutlich übersichtlicher:

Insbesondere die Themen Cloud-Nutzung sowie die Anforderungen an Business Continuity Management (BCM) wurden geschärft. Zusätzlichr wurde das Thema „Privacy Protection“ mit einbezogen. D.h., das hier zusätzliche Maßnahmen zu betrachten und realisieren sind.

Darüber hinaus sind nun sämtliche Maßnahmen mit Attributen verknüpft, wodurch die Transparenz erhöht wird und sich Fehlinterpretationen bei der Anwendung reduzieren lassen. Im Vordergrund stehen jetzt die Identifikation, Bewertung und Steuerung von Risiken für die informationsverarbeitenden Prozesse. Die Sicherheit von vertraulichen Informationen wird dabei als bedeutendes strategisches Element hervorgehoben.