Neuauflage ISO 27001 kommt
Was sich ändert und was es zu beachten gilt
Die ISO/IEC-Norm 27001 bekommt nicht nur eine Auffrischung und Neustrukturierung, es gibt auch einige Änderungen, die es zu beachten gilt. Allerdings haben alle, die bereits zertifiziert sind, noch Zeit, sich auf die Neuerungen einzustellen, denn der Release der neuen Norm ist erst im Ende des Jahres geplant. Danach gilt voraussichtlich eine Übergangsfrist von drei Jahren. Wer jedoch eine Erstzertifizierung bzw. Einführung eines ISMS (Informationssicherheitsmanagementsystem) plant, sollte dies auf Grundlage des aktualisierten Leitfadens, der ISO 27002, tun. Denn diese ist bereits seit dem Februar 2022 veröffentlicht und bietet eine gute Grundlage für die Umsetzung.
Neuer Titel und Neustrukturierung der ISO/IEC 27002
Neu bei der ISO 27002 ist bereits der Titel: Von nun an lautet er „Informationssicherheit, Cybersicherheit und Datenschutz – Informationssicherheits‐Maßnahmen“. Damit reagiert die Norm auf die neuen Herausforderungen, denen sich Unternehmen im Rahmen der Datensicherheit gegenübersehen. Während es in der alten Version noch vierzehn Themenbereiche und 35 Maßnahmenziele gab, sind diese nun in die vier Hauptbereiche Organisatorische Maßnahmen, Maßnahmen in Verbindung mit Menschen, Physische Maßnahmen und Technische Maßnahmen unterteilt. So soll eine bessere Lesbarkeit garantiert werden. Darüber hinaus ändert sich die Anzahl der Controls von 114 auf 93. Diese Änderung ergibt sich daraus, dass einige Controls zusammengefasst wurden. Allerdings beinhaltet die Neufassung der ISO 27002 nicht weniger geforderte Maßnahmen, sondern es kommen elf Controls hinzu.
Neuerungen und notwendige Schritte für eine ISMS Zertifizierung
Neu sind Controls wie etwa Webfiltering, Data Masking, Physical security monitoring oder Information Deletion. Doch was bedeutet das für die Re- oder Neuzertifizierungen eines ISMS? Gerade einige der neuen Controls wie das Physical security monitoring, bei dem gewährleistet werden muss, dass jederzeit klar ist, wer wann in den Räumen des Unternehmens war, könnte kleinere Unternehmen vor neue Herausforderungen stellen. Wie groß der Aufwand für die Umstellung ist, hängt sicherlich genauso von der Größe des Unternehmens wie von seinen Strukturen ab. Dies lässt sich erst nach einem genauen Blick auf bestehende Maßnahmen bestimmen. Sicher ist jedoch, dass Unternehmen bereits jetzt damit beginnen sollten, den Gap zwischen dem vorhandenen ISMS und dem von der neuen Norm geforderten zu analysieren. Wer eine Erstzertifizierung nach ISO 27001 plant, sollte sofort auf Grundlage der neuen Regelungen arbeiten, um zu vermeiden, bestehende, neu implementierte Prozesse und Dokumentationen anpassen zu müssen.
Sie planen eine Rezertifizierung auf Grundlage der neuen Norm oder möchten ein ISMS einführen? Wir unterstützen Sie mit einer Gap-Analyse und begleiten Sie auf dem Weg zur erfolgreichen ISMS Zertifizierung.
