Keine Organisation kommt ohne Informationssicherheitsmaßnahmen aus. Sie sind zur Wahrung der Privatsphäre und zur Sicherstellung der Integrität und Verfügbarkeit von Daten unentbehrlich.

Mit zunehmender Digitalisierung in allen Lebensbereichen wächst aber auch die Vielfalt und Komplexität der Bedrohungen der Informationssicherheit. Cyberangriffe, Datenlecks und Systemausfälle können verheerende Auswirkungen auf Einzelpersonen, Unternehmen und die Gesellschaft als Ganzes haben.

Hier setzt die Informationssicherheit an: 

Sie befasst sich mit der Entwicklung und Implementierung von Maßnahmen und Strategien, um Informationen vor unberechtigtem Zugriff, Veränderungen, Verlust, unberechtigter Verbreitung oder Zerstörung zu schützen. 

Informationssicherheit umfasst eine Vielzahl von Disziplinen - von der physischen Sicherheit der Hardware über die Sicherheit von Software und Netzwerken bis hin zu Normen und Regeln, die den Umgang mit Daten steuern. Sie ist also nicht nur eine technische, sondern auch eine organisatorische Herausforderung, die ein Verständnis für rechtliche Rahmenbedingungen, ethische Grundsätze und die menschlichen Faktoren erfordert.

Die Informationssicherheit ist ein fortlaufender Prozess, der ständige Wachsamkeit und Anpassung an neue Bedrohungen erfordert. Eine Möglichkeit, sich um die fortlaufende Verbesserung der IT-Sicherheit im Unternehmen zu kümmern, ist eine ISO Zertifizierung. Die ISO/IEC 27000-Reihe ist eine Reihe von Standards zur Informationssicherheit, die von der International Organization for Standardization (ISO) und der International Electrotechnical Commission (IEC) herausgegeben werden.

Die jüngsten Überarbeitungen der ISO 27002 und ISO 27001 stellen bedeutende Entwicklungen für Unternehmen dar. Die Änderungen reflektieren eine Anpassung an die heutigen Bedrohungslagen und einen Schwerpunkt auf Datenschutz neben Informationssicherheit. Insbesondere wird die Praxisnähe betont und die Cybersicherheit erhält mehr Bedeutung.

Die ISO 27001, ein Standard für Informationssicherheit-Managementsysteme (ISMS), wurde dahingehend überarbeitet, dass die Daten sowohl besser genutzt als auch sicherer verwahrt werden. Die ISO 27002 ergänzt diese als Leitfaden mit konkreten Umsetzungsempfehlungen. In den neugefassten Versionen wurden 114 Maßnahmen zu 93 zusammengefasst, um die Anwendbarkeit zu erhöhen und jede Maßnahme hat nun einen eigenen Zweck.

Der neue Titel der ISO 27001:2022 zeigt die erhöhte Relevanz von Cybersicherheit und Datenschutz. Die Veränderungen bedeuten jedoch nicht, dass Unternehmen einen komplett neuen Ansatz zur Informationssicherheit verfolgen müssen, da die Kernanforderungen der Norm identisch geblieben sind.

Unternehmen haben eine Übergangsfrist von drei Jahren, bis Oktober 2025, um sich auf die neue ISO 27001:2022 umzustellen. Neue Zertifizierungen können voraussichtlich ab Februar 2023 nach der neuen Fassung durchgeführt werden. Audits nach der alten Norm sind noch bis Ende des ersten Quartals 2024 möglich. Es wird empfohlen, direkt nach der neuen Fassung zu zertifizieren, um eine erneute Auditierung nach Ablauf der Übergangsfrist zu vermeiden.

Schließlich befindet sich die Normenwelt weiter in Bewegung, wobei mit einer schrittweisen Aktualisierung weiterer Standards zu rechnen ist, die auf die ISO 27001 und ISO 27002 aufbauen. Wie sich andere, an der ISO 27000-Normenfamilie orientierende Standards anpassen werden, bleibt abzuwarten.

Mehr Infos

Die ISO 27002 wurde nach neun Jahren überarbeitet, um die Struktur und den Inhalt zu aktualisieren. Auch die ISO 27001 wurde angepasst.
Die Änderungen umfassen:

• Den Titel der ISO 27001: Von "Informationstechnik – Sicherheitsverfahren – Leitfaden für Informationssicherheitsmaßnahmen" zu "Informationssicherheit, Cybersicherheit und Schutz der Privatsphäre– Informationssicherheitsmaßnahmen", was den höheren Stellenwert von Cybersicherheit und Datenschutz reflektiert.
• Die Struktur: Anstatt 14 Abschnitten gibt es nun 4 Themenbereiche (personelle, physische, technische und organisatorische Maßnahmen), wodurch die Zuordnung von Maßnahmen verbessert und übersichtlicher gestaltet wurde.
• Hashtags: Jede Maßnahme erhält Hashtags, die die Art der Maßnahme, Schutzziele, operative Fähigkeiten und Sicherheitsdomänen kennzeichnen, was die Suche und Anpassung an Ausbildungsprogramme erleichtert.
• Datenschutz: Der Datenschutz wird neben der Informationssicherheit stärker betont, mit neuen Normen, die hinzugekommen sind, wie die ISO 27701 und verschiedene ISO 2755x-Normen.
• Praxisnähe: Die Maßnahmen sind detaillierter und praxisnah beschrieben, wobei 114 Maßnahmen zu 93 zusammengefasst wurden und neue Herausforderungen wie Bedrohungsanalyse und Data Loss Prevention aufgenommen wurden.
• Weitere Quellen: Es wurden auch Inputs von ISF, ITIL, NIST, OWASP und OASIS integriert.
• Übergangsfristen: Für die Umstellung auf die neue ISO 27001:2022 gibt das International Accreditation Forum eine Frist bis zum 31. Oktober 2025.
• Aktualisierung weiterer Normen: Verwandte Normen und Leitfäden werden sukzessive aktualisiert, einschließlich ISO 27005 zum Risikomanagement.

Mehr Infos

Stand: April 2024