News

ISO 27001:2022 - Ready for revision?

Kategorie: Prozessmanagement

Die Bedeutung der Norm ist enorm gestiegen

Die internationale Norm ISO/IEC 27001 bildet die Grundlage für ein Informationssicherheitsmanagementsystem. In den neun Jahren ihrer Anwendung in der Praxis ist die Bedeutung der Norm stetig gestiegen. 2021 lag sie weltweit schon auf Platz 4, hinter der ISO 9001 (Qualitätsmanagement), ISO 14001 (Umweltmanagement) und ISO 45001 (Arbeits- und Gesundheitsmanagement). In Deutschland führen bereits 1.300 Unternehmen eine ISO 27001-Zertifizierung.

Cybersicherheit und Datenschutz stärker im Fokus

Nach neun Jahren ist die ISO/IEC 27001:2013 einer Revision unterzogen worden. Im Oktober 2022 trat die revidierte Norm in Kraft (bisher nur in Englischer Sprache verfügbar), welche nach einer Übergangszeit von 36 Monaten die alte Norm als Zertifizierungsgrundlage ersetzen wird. Nicht zuletzt aufgrund der stärker zunehmenden Gefahr durch Hackerangriffe und Datenspionage erfolge eine Inhaltliche Ergänzung und Präzisierung der Normgrundlage unter besonderer Berücksichtigung des Themas Cybersicherheit.

Dies geht selbst aus der Änderung des Titels hervor, der angepasst worden ist auf: „Informationssicherheit, Cybersicherheit und Schutz der Privatsphäre“. Darüber hinaus wird das Thema Datenschutz stärker thematisiert als zuvor.

Was genau ändert sich?

Blickt man in die operativen Normkapitel, so zeigen sich relativ moderate und überschaubare Änderungen. Eine deutliche Anpassung zeigt sich im Anhang A der Norm, der in direktem Bezug zum Kapitel 6.1.3. steht und vorgibt, die Maßnahmen aus der Risikobewertung mit denen in Anhang A zu vergleichen und zu überprüfen, dass keine erforderlichen Maßnahmen ausgelassen werden.

  • Prozessorientierung - wie bereits in den anderen Managementsystemen der HLS-Struktur umgesetzt, wird nun auch in der ISO/IEC 27001 explizit die Forderung nach Prozessabbildungen und Wechselwirkungen manifestiert.
  • Umgang mit Änderungen – wie ebenfalls aus anderen Managementsystemen bekannt, verlangen diese nach einem systematisierten und beherrschten Umgang mit Änderungen. Dies war bisher nicht explizit Gegenstand des ISMS.
  • Prozesssteuerung – wie die bereits oben genannten zwei Änderungen folgt auch das Kapitel 8 nun mehr und mehr den Vorgaben anderer ISO-Normen. So finden sich neuerdings Forderungen zu Kriterien der Prozesssteuerung/-überwachung, so wie ein Fokus auf das Thema Beschaffung. Letzterer fordert eine Berücksichtigung der sogenannten ExPPDs (externe Prozesse, Produkte und Dienstleistungen) mit einer Relevanz für das ISMS. Diese Forderung kommt etwa einer Lieferantenbewertung aus der ISO 9001 gleich.
  • Überwachung - die Anforderung zur Bewertung der Informationssicherheitsleistung und der Wirksamkeit des ISMS als Regelaufgabe des ISMS-Controllings ist ein Novum. Die Organisation muss die Informationssicherheitsleistung und die Wirksamkeit des Informationssicherheitsmanagementsystems bewerten.
  • Bedeutung des Anhang A – Der Normanhang A, welcher bisher die 114 Controls, also die Sicherheitsmaßnahmen definiert, ist neu strukturiert und in seiner Bedeutung verändert worden. In der bisherigen Norm war von einer umfassenden Liste von Maßnahmenzielen die Rede, während in der aktuellen Revision lediglich mögliche Ziele angeführt werden. Dies bedeutet in der Praxis, dass die Organisation zur Informationsrisikobeurteilung (Kap 6.1.2) und Risikobehandlung (6.1.3) diejenigen Maßnahmen selbst ermitteln muss, welche für das Unternehmen relevant sind. Dies kann auch dazu führen, dass über diesen Anhang hinaus Informationssicherheitsmaßnehmen ermittelt werden, die dort nicht explizit erwähnt werden.

Gesamtheitlich erfolgte eine Reduzierung der Maßnahmen und eine Zusammenfassung ähnlicher Themen – kurz: es ist nichts verschwunden, es wurde nur neu sortiert und geclustert, zudem wurden ergänzende Themen eingefügt.

Ready for Revision?

Wie sieht es bei Ihnen aus? Sind Sie gut aufgestellt um die Revision durchführen sauber umsetzen zu können? Wir raten Ihnen, beginnen die JETZT mit der Revisionsumsetzung in Ihrem Managementsystem
und machen Sie sich auf den Weg zu einer resilienten IT-Organisation. Ihr FKC-Prozessmanagement-Team unterstützt Sie gern.
 

prozessberatung@fkc-gmbh.de

Nutzen Sie unsere Tipps als Aushang für Ihre Mitarbeiter

Gerne Teilen wir unser Wissen mit Ihnen und bieten Ihnen unsere Informationen als Download
AI_Prozessmanagement_0923.pdf09.2023AI_Prozessmanagement_0923.pdf (261 KB)