Die wichtigsten Änderungen der Kontrollen von ISO 27001:2013 zu ISO 27001:2022

Auch die Informationssicherheit entwickelt sich ständig weiter, und um mit der Dynamik der Cyber-Bedrohungen Schritt zu halten, werden Normen wie ISO 27001 regelmäßig überarbeitet. Der Übergang von ISO 27001:2013 zu ISO 27001:2022 bringt wichtige Änderungen mit sich, insbesondere bei den Kontrollen, die Organisationen zur Sicherung ihrer Informationsbestände einsetzen.

Änderungen der Kontrollen in ISO 27001:2013 zu ISO 27001:2022

Die Überarbeitungen zielen darauf ab, neuen Bedrohungen zu begegnen, bewährte Verfahren einzubeziehen und die Gesamteffektivität des Standards beim Schutz sensibler Informationen zu verbessern. Werfen wir einen Blick auf einige der wichtigsten Änderungen an den Kontrollen:

Anpassung an moderne Technologien

Angesichts der rasanten technologischen Entwicklung führt die ISO 27001:2022 Kontrollen ein, die speziell auf moderne Entwicklungen eingehen. Die neuen Kontrollen umfassen Bereiche wie Cloud-Sicherheit, Verwaltung mobiler Geräte und neue Technologien wie Blockchain.

‍

Stärkere Betonung des Risikomanagements

In der Version 2022 wird der Schwerpunkt stärker auf das Risikomanagement im gesamten ISMS gelegt. 

‍

Integration mit anderen Managementsystemen

ISO 27001:2022 ist nun enger mit anderen Managementsystemnormen wie ISO 9001 (Qualitätsmanagement) und ISO 14001 (Umweltmanagement) verbunden.

Diese Integration macht es für Unternehmen einfacher, mehrere Verwaltungssysteme gleichzeitig zu implementieren und zu pflegen.

‍

Fokus auf Sicherheit in der Lieferkette

Angesichts der Verflechtung der Geschäftsprozesse wird bei den neuen Kontrollen besonders auf die Sicherheit der Lieferkette geachtet.

‍

Ausweitung der Kontrollen zur Reaktion auf Zwischenfälle

ISO 27001:2022 erweitert die Kontrollen für die Reaktion auf Sicherheitsvorfälle und stellt sicher, dass Organisationen gut vorbereitet sind, um Sicherheitsvorfälle zu erkennen, darauf zu reagieren und sich davon zu erholen.

‍

Sensibilisierung und Schulung für Cybersicherheit

Menschliche Faktoren sind nach wie vor eine wesentliche Schwachstelle. Der aktualisierte Standard enthält Kontrollen, die die Bedeutung des Bewusstseins für Cybersicherheit und der Schulung von Mitarbeitern auf allen Ebenen der Organisation weiter betonen.

‍

Umstellung auf ISO 27001:2022

Wenn Ihre Organisation derzeit nach ISO 27001:2013 zertifiziert ist, erfordert die Umstellung auf die Version 2022 eine sorgfältige Überprüfung und Anpassung Ihres ISMS. Es ist wichtig, eine Lückenanalyse durchzuführen, Richtlinien und Verfahren zu aktualisieren und sicherzustellen, dass Ihr Team mit den neuen 11 Kontrollen vertraut ist.

Aber keine Sorge - wir helfen Ihnen bei der Umstellung!

‍

Neue Kontrollmechanismen in ISO 27001:2022

‍

Organisatorische Kontrollen in ISO 27001

A 5.7 Daten über Bedrohungen

A 5.7 wurde formuliert, um Organisationen zu helfen, ihr Bedrohungsumfeld zu verstehen. Dies sollte sie in die Lage versetzen, geeignete Maßnahmen zur Aufrechterhaltung der Informationssicherheit als Reaktion auf die festgestellten Bedrohungen zu ermitteln.

‍

A 5.23 Informationssicherheit bei der Nutzung von Cloud-Diensten

A 5.23 führt eine Kontrolle ein, die Prozesse für den Erwerb, die Nutzung, die Verwaltung und die Beendigung von Cloud-Diensten beschreibt, die auf die spezifischen Informationssicherheitsanforderungen einer Organisation zugeschnitten sind. Diese Kontrolle ermöglicht es Organisationen, die als "Kunden von Cloud-Diensten" auftreten, die für Cloud-Dienste relevanten Informationssicherheitsrichtlinien zu formulieren und zu überwachen. Sie dient als Präventivmaßnahme zur Risikominderung durch die Festlegung von Informationssicherheitsrichtlinien und -verfahren für kommerzielle Cloud-Dienste.

‍

A 5.30 IKT-Bereitschaft für die Geschäftskontinuität

A 5.30 erkennt die kritische Rolle von IKT-Plattformen und -Diensten bei der Aufrechterhaltung der Geschäftskontinuität bei Störungen oder bedeutenden Ereignissen an.

Kontrolle 5.30 umreißt die Wiederherstellungszeitziele (RTO) und die Analyse der Auswirkungen auf das Geschäft (BIA) einer Organisation und beschreibt das Zusammenspiel zwischen IKT-Diensten, diesen Messgrößen und unterstützenden Kontrollen.

‍

Physische Kontrollen in ISO 27001

A 7.4 Überwachung der physischen Sicherheit

A 7.4 schreibt vor, dass Organisationen geeignete Überwachungsinstrumente einsetzen müssen. Dies ist unerlässlich, um das unbefugte Eindringen von externen und internen Eindringlingen in physisch eingeschränkte Bereiche zu erkennen und zu verhindern.

‍

Technologische Kontrollen in ISO 27001

A 8.9 Konfigurationsmanagement‍

A 8.9, sei es in Form einer eigenständigen Konfigurationsdatei oder einer Sammlung von verknüpften Konfigurationen, definiert die Verwaltung von Hardware, Software und Netzwerken. Die Konfigurationsdatei einer Firewall beispielsweise kapselt grundlegende Attribute, die das Gerät zur Regulierung des ein- und ausgehenden Netzwerkverkehrs verwendet, und enthält Blocklisten, Portweiterleitung, virtuelle LANs und VPN-Details.

‍

A 8.10 Löschung von Informationen

A 8.10 beschreibt, wie Organisationen müssen sich ihrer Verantwortung bewusst sein, auf internen Servern, Festplatten, Arrays und USB-Laufwerken gespeicherte Daten sicher zu löschen, wenn sie nicht mehr benötigt werden. Diese Verpflichtung erstreckt sich auf Daten von Mitarbeitern, Benutzern, Kunden und der Organisation selbst.

‍

A 8.11 Datenmaskierung

A 8.11 ist eine Schutztechnik, die dazu dient, sensible Daten, insbesondere personenbezogene Daten, über die Standardsicherheitsprotokolle einer Organisation hinaus zu schützen, einschließlich der Zugangskontrolle.

Die Praxis der Datenmaskierung wird häufig in rechtlichen, gesetzlichen und behördlichen Richtlinien erwähnt, die die Speicherung und den Zugriff auf Mitarbeiter-, Kunden-, Benutzer- und Verkäuferdaten vorschreiben.

A 8.12 Vorbeugung von Datenlecks

A 8.12 erläutert, wie Datenlecks durch den unbefugten Zugriff, die unbefugte Übertragung oder Extraktion von Informationen durch interne und externe Mitarbeiter, Systeme oder böswillige Akteure, die auf die Informationssysteme eines Unternehmens abzielen, gekennzeichnet sind.

Unternehmen, die mit großen Datenmengen in verschiedenen Klassifizierungen auf vernetzten IT-Systemen, Anwendungen und Dateiservern arbeiten, sind häufig mit dem Problem von Datenlecks konfrontiert.

‍

A 8.16 Überwachungsaktivitäten

A 8.16 befasst sich mit der effektiven Überwachung des Netzes, welche eine entscheidende Komponente für einen erfolgreichen IT-Support und Informationssicherheitsbetrieb ist.

Unternehmen sollten eine umfassende Strategie für die Informationssicherheit und die Reaktion auf Zwischenfälle umsetzen, die alle Aspekte abdeckt. Dazu gehört ein proaktiver Überwachungsansatz, um Vorfälle zu verhindern, bevor sie auftreten, und die Koordinierung reaktiver Maßnahmen, wenn dies erforderlich ist.

‍

A 8.23 Web-Filterung

A 8.23 unterstützt Unternehmen zusätzlich bei der Minderung von Sicherheitsrisiken und verhindert, dass Bedrohungen wie Malware-Infektionen Zugang zu externen Websites mit bösartigen Inhalten erhalten.

‍

A 8.28 Sichere Kodierung

A 8.28 unterstützt Organisationen bei der Abwendung von Sicherheitsrisiken und Schwachstellen, die sich aus unangemessenen Software-Codierungspraktiken ergeben, indem es sichere Software-Codierungspraktiken einführt, implementiert und evaluiert.

‍

Beispiele für Änderungen an den Kontrollen in ISO 27001:2022

‍

A.6.1.5 ISO 27001:2013 → A 5.8 ISO 27001:2022 ‍

Informationssicherheit im Projektmanagement erweitert die Projektmanagement-Praktiken und legt den Schwerpunkt auf die Integration von Informationssicherheitsmaßnahmen während des gesamten Projektlebenszyklus.

‍

A.12.5.3 ISO 27001:2013 → A 6.9.6 ISO 27001:2022 

Das technische Schwachstellenmanagement umfasst zwei Unterabschnitte, die sich mit dem Schwachstellenmanagement befassen. Diese Unterklauseln sind unterteilt in technisches Management und Richtlinien für das Vorgehen der Organisation bei Softwareinstallationen.

‍

A.10.11 and 10.1.2 ISO 27001:2013 → A 8.24 ISO 27001:2022

Der Einsatz von Kryptographie ermöglicht es Organisationen, die Vertraulichkeit, Integrität, Authentizität und Verfügbarkeit von Informationsbeständen zu wahren, indem sie kryptographische Techniken richtig anwenden und einige spezielle Kriterien berücksichtigen.

‍

A.15.1.3 ISO 27001:2013 → A 5.21 ISO 27001:2022

Das Management der Informationssicherheit in der IKT-Lieferkette dient als Präventivmaßnahme in der IKT-Lieferkette. Es gewährleistet eine Risikominderung durch die Festlegung eines "vereinbarten Sicherheitsniveaus" zwischen den beteiligten Parteien.

‍

Secfix unterstützt Sie gerne bei Ihrer ISO 27011 Zertifizierung oder Umstellung! 

Buchen Sie eine Beratung bei uns!