News Digitalisierung und Compliance

ISO/IEC 27001:2022 - Was ist neu?

Veröffentlicht: 28. Februar 2023 aus Steuern & Wirtschaft aktuell

Seit mehr als zwei Jahrzehnten ist die Norm ISO 27001 eine etablierte Prüfgrundlage von Informationsmanagementsystemen. Die neue ISO/IEC 27001:2022 legt ihren Fokus auf Prozessorientierung beim Management der Informationssicherheit, der Cybersicherheit und des Datenschutzes. Die Änderungen repräsentieren überfällige Anpassungen an das wachsende Verständnis von Informationssicherheit.

 

Informationen und Daten sind Bestandteile jedes Geschäftsprozesses. Ein reibungsloser Austausch und der damit verbundene Schutz datentragender Prozesse, kritischer Daten und geistigen Eigentums vor Cyberangriffen ist für Unternehmen jeder Größenordnung unverzichtbar. Ohne geeignete Sicherheitsvorkehrungen drohen Datenverlust und Datendiebstahl, Geschäftsstillstand, Datenmissbrauch und Reputationsverlust.

Im Vordergrund der Norm stehen die Identifikation, Bewertung und Steuerung von Risiken für die informationsverarbeitenden Prozesse. Manche Informationen sind irrelevant, andere jedoch kritisch und vertraulich. Diese wichtige Unterscheidung muss die Organisation treffen können, um Informationen entsprechend zu klassifizieren. Die Sicherheit von vertraulichen Informationen wird dabei als bedeutendes strategisches Element hervorgehoben.

Das aktuelle ISO-27001-Update ersetzt die bisherige Norm ISO/IEC 27001:2013 bzw. die deutsche Ausgabe DIN EN ISO/IEC 27001:2017. Da von einem Übergangszeitraum von drei Jahren auszugehen ist, verlieren Zertifikate auf Basis der alten Normen voraussichtlich erst im Oktober 2025 ihre Gültigkeit. Erstzertifizierungen müssen ab dem 31.10.2023 gemäß der neuen Norm durchgeführt werden.

Die wesentlichen Neuerungen im Überblick:

  • Mit Einführung einer harmonisierten Struktur wird der Grundstein gelegt, um künftige ISO-Managementsystemnormen noch weiter zu harmonisieren. Dies ist besonders dann sinnvoll, wenn in einem Unternehmen mehrere Standards gleichzeitig bewertet werden.
  • Betonung erforderlicher Prozesse, ihrer Wechselwirkungen und Kriterien.
  • Vereinfachte und gestraffte Kategorisierung der Maßnahmen in Themenblöcken. Während die alte Version noch 114 Maßnahmen (gegliedert in 14 Bereiche) enthielt, ist die neue Version mit 93 Maßnahmen (gegliedert über vier Bereiche) übersichtlicher.
  • Zeitgemäße Maßnahmen, die auf aktuelle Organisationsmethoden und damit verbundene Bedrohungen abgestimmt sind.
  • Sämtliche Maßnahmen sind jetzt mit Attributen verknüpft. Dadurch wird die Transparenz erhöht und Fehlinterpretationen bei der Anwendung reduziert.

Weiterhin wurden das Thema „Cloud-Nutzung“ sowie die Anforderungen an das Business Continuity Management geschärft.

Steuern & Wirtschaft aktuell

Möchten Sie immer gut informiert sein? Dann nehmen Sie unser Serviceangebot für Rundschreiben in Anspruch. Einblicke in steuerliche und rechtliche Veränderungen mit Perspektiven für neue Gestaltungsmöglichkeiten

Aboservice für Rundschreiben

 
 
 

Merke

Bereits zertifizierte Unternehmen sollten die Dokumentation für die neuen Controls frühestmöglich anpassen und aktualisieren, insbesondere für das Business Continuity Management.

 

Wir beraten Sie gerne!