Das Thema Informationssicherheit steht auf der Agenda beinahe aller Unternehmen ganz oben. Neue Technologien, beispielsweise cloudbasierte Dienste, ändern jedoch die Bedrohungsszenarien für Unternehmen laufend. Dabei bietet die Norm für Informationssicherheits-Managementsysteme (ISMS), nach der TÜV AUSTRIA zertifiziert, Unternehmen klare Rahmenbedingungen für das Risikomanagement und den Schutz vor Bedrohungen, um die Sicherheit von Informationen entsprechend zu garantieren.
Die neue Revision, die im November 2022 erschienen ist, berücksichtigt aktuelle Szenarien und fordert moderne Sicherheitsmaßnahmen auf Basis der aktuellen Bedrohungsszenarien. Die Änderungen umfassen neben der Aktualisierung des Titels zum einen die Verbesserung und Aktualisierung der bestehenden Struktur, sowie elf komplett neue Maßnahmen, wobei der Zweck der IT-Sicherheitsmaßnahmen im Vordergrund steht.
Normenrevision ISO/IEC 27001:2022. Richtiger Umgang mit modernen Bedrohungszenarien
Die überarbeitete Fassung beschäftigt sich mit den neuen Szenarien, mit denen Unternehmen umgehen müssen. Von 93 Gesamtmaßnahmen, die in die Bereiche Organisatorische, Personenbezogene, Physische und Technologische Maßnahmen untergliedert sind, wurden elf Sicherheitsmaßnahmen ergänzt, 58 aktualisiert und 23 Maßnahmen zusammengelegt. Die Änderungen betreffen unter anderem auch Aspekte der Cybersicherheit und des Datenschutzes. Zudem wurde die Formulierung der Maßnahmen aktualisiert und zusätzliche Hinweise hinzugefügt.
Elf neuen Maßnahmen/Kontrollen der ISO/IEC 27001:2022 im Überblick:
- Bedrohungsintelligenz
- Informationssicherheit für die Nutzung von Cloud-Diensten
- IKT-Bereitschaft für Business Continuity
- Physische Sicherheitsüberwachung
- Konfigurationsmanagement
- Löschung von Informationen
- Datenmaskierung
- Verhinderung von Datenlecks
- Überwachungstätigkeiten
- Webfilterung
- Sicheres Coding
Veränderten Szenarien, auf die besonders eingegangen wird, sind:
- Einführung von digitalen Technologien wie Cloud und Automatisierung
- Erkennen von Risiken für die Cybersicherheit und den Datenschutz
- Berücksichtigung der sich verändernden Bedrohungslandschaft, z.B. neue Arten von Malware oder Ransomware
- Sprachliche Überarbeitung der Maßnahmen und Ergänzung zusätzlicher Hinweise
Wichtige Änderungen betreffen dabei folgende Bereiche:
- Informationssicherheitsrisikobeurteilung & -behandlung
- Anwendbarkeitserklärung
- Führung
- Unternehmenssicherheit
- IT-Funktion
- andere unterstützende Funktionen
- Bereitstellung (für Dienstleister)
Um die Anforderungen zu erfüllen, müssen Organisationen ihre Risikobeurteilungen neu bewerten und ihre Sicherheitsmaßnahmen anpassen. Zusätzlich zu den Änderungen bei den Maßnahmen wurde die Ausgabe 2022 auch an die neuesten Aktualisierungen der Harmonisierten Struktur der ISO (früher High Level Structure genannt) angepasst.
ISMS: Umsetzungszeitraum bis November 2025
Die neue Version wurde Ende Oktober 2022 veröffentlicht. Der Zeitplan für die Umstellung beträgt drei Jahre. Aktuelle Zertifikate müssen daher vor November 2025 auf die neue Version umgestellt werden. Dies wird bei TÜV AUSTRIA im Rahmen von Upgrade-Audits innerhalb der Frist schrittweise erfolgen.
Zertifikate prüfen
Ich suche eine Lösung, kenne aber deren Bezeichnung nicht 
