von Dominik Weyand | Jun 7, 2024 | Compliance, Cyber-Sicherheit, Datenschutz, GRC & Informationssicherheit, News
Von Dominik Weyand
Einleitung
Der Klimawandel ist eine der größten Herausforderungen unserer Zeit und beeinflusst alle Aspekte des gesellschaftlichen und wirtschaftlichen Lebens. Um den Auswirkungen des Klimawandels gerecht zu werden und eine nachhaltige Entwicklung zu fördern, werden zunehmend Managementsysteme angepasst. Insbesondere die international anerkannten Normen ISO 9001 (Qualitätsmanagement) und ISO 27001 (Informationssicherheitsmanagement) haben begonnen, den Klimawandel in ihre Anforderungen zu integrieren. Dies spiegelt sich konkret in den Kapiteln 4.1 und 4.2 dieser Normen wider, die kürzlich überarbeitet wurden.
Die ISO 9001 und der Klimawandel
Die ISO 9001-Norm, die weltweit als Standard für Qualitätsmanagementsysteme gilt, wurde dahingehend erweitert, dass der Klimawandel und seine Auswirkungen stärker berücksichtigt werden. Die überarbeitete Fassung von Kapitel 4.1 fordert nun, dass Organisationen bei der Bestimmung ihres internen und externen Kontextes auch die Auswirkungen des Klimawandels berücksichtigen. Dies bedeutet, dass Unternehmen:
- Umweltfaktoren analysieren müssen, die die Qualität ihrer Produkte und Dienstleistungen beeinflussen könnten, wie extreme Wetterereignisse oder Veränderungen der Ressourcenzugänglichkeit
- Risikobewertungen hinsichtlich des Klimawandels durchführen, um mögliche Störungen in der Lieferkette oder Produktionsprozesse zu identifizieren und zu mitigieren
- Strategische Maßnahmen entwickeln, um die Resilienz ihres Qualitätsmanagementsystems gegen klimabedingte Risiken zu stärken
Kapitel 4.2 wurde dahingehend angepasst, dass Organisationen nun die Erwartungen und Anforderungen ihrer interessierten Parteien im Kontext des Klimawandels berücksichtigen müssen. Dies beinhaltet:
- Erwartungen von Kunden und Lieferanten hinsichtlich nachhaltiger und klimafreundlicher Produkte und Prozesse bestimmen
- Regulatorische Anforderungen in Bezug auf Umwelt- und Klimaschutzmaßnahmen erfüllen
Die ISO 27001 und der Klimawandel
Auch die ISO 27001-Norm, die als Standard für Informationssicherheitsmanagementsysteme dient, wurde um Aspekte des Klimawandels erweitert. In der aktualisierten Version von Kapitel 4.1 müssen Organisationen nun auch klimabedingte Faktoren in ihren Kontextanalysen berücksichtigen. Dies bedeutet, dass:
- Klimainduzierte Risiken für die Informationssicherheit, wie z.B. durch Naturkatastrophen verursachte Ausfälle von Rechenzentren oder Kommunikationsinfrastrukturen, identifiziert und bewertet werden müssen.
- Maßnahmen zur Erhöhung der Resilienz gegenüber klimabedingten Bedrohungen, wie Backup-Systeme und redundante Kommunikationswege, implementiert werden sollten.
Kapitel 4.2 der ISO 27001 wurde so erweitert, dass Organisationen auch die klimabezogenen Erwartungen und Anforderungen ihrer Stakeholder berücksichtigen müssen. Dies beinhaltet:
- Anforderungen von Kunden und Partnern hinsichtlich der Sicherstellung der Informationssicherheit unter klimatischen Extrembedingungen.
- Regulatorische Vorgaben und Compliance-Anforderungen im Kontext von Klimarisiken und Informationssicherheit.
- Erwartungen der Gesellschaft bezüglich der Nachhaltigkeit und Klimaschutzmaßnahmen von Unternehmen im Bereich der Informationssicherheit.
Fazit
Die Integration des Klimawandels in die Managementsysteme ISO 9001 und ISO 27001 stellt einen bedeutenden Schritt dar, um den Herausforderungen des Klimawandels auf organisatorischer Ebene zu begegnen. Die Anpassungen in den Kapiteln 4.1 und 4.2 dieser Normen verdeutlichen die Notwendigkeit, Klimarisiken und -chancen systematisch zu identifizieren und in die strategischen Planungen und operativen Prozesse zu integrieren. Unternehmen, die diese Anpassungen proaktiv umsetzen, positionieren sich nicht nur besser in einem sich verändernden globalen Umfeld, sondern tragen auch aktiv zu einer nachhaltigeren und widerstandsfähigeren Wirtschaft bei.
Unsere Experten helfen Ihnen gerne weiter und stehen für offene Fragen jederzeit zur Verfügung. Durch unsere jahrelange Erfahrung aus verschiedenen Branchen helfen wir Ihnen nicht nur bei aktuellen Problemen, sondern sorgen für ein nachhaltig hohes Sicherheitsniveau in Ihrem Unternehmen.
von Dominik Weyand | Apr 26, 2024 | Compliance, Cyber-Sicherheit, Datenschutz, GRC & Informationssicherheit, News
Von Dominik Weyand
Einleitung
In der heutigen digitalen Welt, in der Daten eine zunehmend wichtige Rolle spielen, sind Informationssicherheit und Datenschutz für Organisationen von entscheidender Bedeutung. Zwei der wichtigsten Rahmenwerke, die Organisationen dabei unterstützen, ihre Informationssicherheitspraktiken zu verbessern und das Vertrauen ihrer Kunden zu gewinnen, sind die ISO 27001 und SOC 2. Obwohl beide Rahmenwerke darauf abzielen, die Sicherheit von Informationen zu gewährleisten, unterscheiden sie sich in einigen wichtigen Aspekten. Im folgenden Artikel werden beide Standards zunächst kurz beschrieben, um im Anschluss die Gemeinsamkeiten sowie die Unterschiede darzustellen.
Die ISO 27001:2022
Ein Informationssicherheitsmanagementsystem (ISMS) trägt signifikant dazu bei, Cyberangriffe abzuwehren, und wirkt unterstützend bei der Verhinderung von Datendiebstahl. Die Norm definiert einen Rahmen für die Einrichtung, Umsetzung, Aufrechterhaltung und kontinuierliche Verbesserung eines ISMS. Mit der Zertifizierung nach ISO 27001 haben Unternehmen und Organisationen die Möglichkeit, Risiken in der Informationssicherheit zu senken und das Vertrauen ihrer Kunden sowie Stakeholder zu stärken. Im Vordergrund der ISO 27001 steht der Schutz der Vertraulichkeit sowie die Integrität und Verfügbarkeit von Informationen in Organisationen und Unternehmen.
Die ISO 27001 wurde zuletzt 2022 aktualisiert und an die aktuellen Entwicklungen der Unternehmen bezüglich Informationssicherheit angepasst. Das Grundgerüst der Norm ist die sogenannte Harmonized Structure, welche aus zehn Kapiteln besteht. Die ersten drei Kapitel führen dabei allgemein in das Thema ein und verweisen für ein besseres Verständnis auf andere Normen. Die Anforderungen in den Kapiteln vier bis zehn müssen umgesetzt werden, um die Zertifizierung zu erreichen. Darüber hinaus umfasst der Anhang der ISO 27001:2022 93 Controls, die dazu beitragen, die Informationssicherheit zu verbessern. Diese Controls sind in die folgenden vier Kategorien unterteilt:
- Organisatorische Controls
- Personenbezogene Controls
- Physische Controls
- Technologische Controls
SOC 2
SOC 2 (Service Organization Control 2) ist ein Prüfungsstandard, welcher von der American Institute of Certified Public Accountants (AICPA) entwickelt wurde. Dieser basiert auf einer Reihe von Prinzipien, die als Trust Service Criteria (TSC) bezeichnet werden. Diese Prinzipien dienen als Grundlage für die Prüfung und Bewertung von Dienstleistern. Die fünf TSC umfassen die Sicherheit, die Verfügbarkeit, die Verarbeitungsintegrität, die Vertraulichkeit sowie die Datenschutzaspekte von Dienstleistungen in einer Cloud. Damit Unternehmen die Einhaltung der TSC nachweisen können, muss eine umfassende Prüfung durch einen unabhängigen Wirtschaftsprüfer durchgeführt werden. Der SOC 2-Bericht, der aus dieser Prüfung resultiert, enthält typischerweise:
- Eine Beschreibung des Dienstleisters und des Umfangs der geprüften Services
- Eine Erklärung zur Einhaltung der TSC und der zugrunde liegenden Kontrollen
- Eine Bewertung der Wirksamkeit der implementierten Kontrollen
- Empfehlungen zur Verbesserung der Sicherheits- und Compliancemaßnahmen
Diese Prüfungsnorm ist besonders relevant für Technologieunternehmen und Dienstleister, die Services anbieten, bei denen Datenschutz und Datensicherheit von entscheidender Bedeutung sind.
Gemeinsamkeiten
Fokus auf Informationssicherheit: Sowohl die ISO 27001 als auch SOC 2 konzentrieren sich darauf, die Sicherheit von Informationen zu gewährleisten, einschließlich Vertraulichkeit, Integrität und Verfügbarkeit.
Risikomanagement: Beide Rahmenwerke verwenden einen risikobasierten Ansatz, bei dem Organisationen Risiken identifizieren, bewerten und behandeln, um ihre Informationssicherheitsziele zu erreichen.
Kontinuierliche Verbesserung: Die ISO 27001 und SOC 2 legen Wert auf eine kontinuierliche Verbesserung. Organisationen müssen ihre Sicherheitspraktiken regelmäßig überprüfen und aktualisieren, um mit den sich ständig verändernden Bedrohungen und Anforderungen Schritt zu halten.
Transparenz und Vertrauen: Beide Rahmenwerke bieten Organisationen die Möglichkeit, ihren Kunden und anderen Stakeholdern Transparenz und Vertrauen in ihre Informationssicherheitspraktiken zu vermitteln, indem sie sich Zertifizierungen oder Prüfberichte vorlegen lassen.
Unterschiede
Nachweis: Ein wesentlicher Unterschied zwischen ISO 27001 und SOC 2 liegt in der Art der Bewertung. ISO 27001 ist eine Zertifizierungsnorm, bei der Organisationen eine formelle Zertifizierung erhalten können, wenn sie die Anforderungen der Norm erfüllen. SOC 2 hingegen ist ein Rahmenwerk, das auf Prinzipien basiert, die von einem unabhängigen Prüfer bewertet werden. Organisationen erhalten keinen offiziellen „SOC 2-Zertifizierungsstatus“, sondern einen Prüfbericht, der ihre Einhaltung der Prinzipien bestätigt.
Zielgruppe: Die ISO 27001 richtet sich an Organisationen jeder Größe, Branche und Art, die ihre Informationssicherheitspraktiken verbessern möchten. SOC 2 ist speziell auf Technologieunternehmen und Dienstleister ausgerichtet, die Services erbringen, bei denen Datenschutz und Datensicherheit von entscheidender Bedeutung sind.
Markt: In Ländern wie den USA, Kanada und Großbritannien, in denen Technologieunternehmen und Cloud-Dienste eine bedeutende Rolle spielen, ist die Nachfrage nach SOC 2-Zertifizierung tendenziell höher. Dies liegt daran, dass SOC 2 speziell auf Dienstleister in der Technologiebranche ausgerichtet ist und die Sicherheit von Kundendaten in Cloud- und IT-Diensten betont. In vielen europäischen Ländern, einschließlich Deutschland, Schweiz und Skandinavien, wird häufiger nach ISO 27001 zertifiziert. Dies liegt teilweise daran, dass ISO 27001 ein international anerkannter Standard ist und von vielen Organisationen als grundlegendes Element ihres Informationssicherheitsmanagements betrachtet wird. Darüber hinaus sind die Datenschutzanforderungen in Europa oft strenger, was die ISO 27001-Zertifizierung als Mittel zur Demonstration der Einhaltung dieser Anforderungen attraktiv macht.
Umfang: Die ISO 27001 ist weitreichender und umfasst alle Aspekte des Informationssicherheitsmanagements, einschließlich physischer Sicherheit, Personalmanagement und Compliance. SOC 2 konzentriert sich speziell auf Sicherheits-, Verfügbarkeits-, Integritäts-, Vertraulichkeits- sowie Datenschutzaspekte, die im Zusammenhang mit den Systemen und Dienstleistungen eines Unternehmens stehen.
Anforderungen: Die Anforderungen der beiden Rahmenwerke unterscheiden sich in ihrer Spezifität und Tiefe. Die ISO 27001 ist bekannt für ihre allgemeinen Anforderungen, die Organisationen dennoch flexibel an ihre individuellen Bedürfnisse anpassen können. SOC 2 hingegen definiert spezifische Prinzipien und Kriterien, die Organisationen erfüllen müssen, um die Bewertung erfolgreich zu bestehen.
Fazit
Zusammenfassend sind sowohl die ISO 27001:2022 als auch SOC 2 wertvolle Rahmenwerke für Unternehmen, um ihre Informationssicherheitspraktiken zu verbessern und das Vertrauen ihrer Kunden zu stärken. Die Wahl zwischen beiden Standards hängt von den spezifischen Anforderungen, Zielen und der Branche einer Organisation ab. Einige Unternehmen können sich dafür entscheiden beide Rahmenwerke zu implementieren, um eine umfassende Sicherheitsstrategie zu gewährleisten.
Unsere Experten helfen Ihnen gerne weiter und stehen für offene Fragen jederzeit zur Verfügung. Durch unsere jahrelange Erfahrung in verschiedenen Branchen helfen wir Ihnen nicht nur bei aktuellen Problemen, sondern sorgen für ein nachhaltig hohes Sicherheitsniveau in Ihrem Unternehmen.
von Dominik Weyand | Nov 9, 2023 | Compliance, Cyber-Sicherheit, Datenschutz, GRC & Informationssicherheit, News
von Dominik Weyand
Rückblick
Wie bereits im ersten Teil erläutert werden durch den neuen Aufbau der Controls die Attribute stärker spezifiziert und die Notwendigkeit stärker hervorgehoben. Des Weiteren wurden die neuen organisatorischen sowie physischen Controls erläutert. Der zweite Teil befasst sich mit den neuen technologischen Controls.
8.9 Konfigurationsmanagement
Das Control Konfigurationsmanagement fordert, dass die Unternehmen den gesamten Zyklus der Sicherheitskonfiguration für die Technologie der Organisation verwaltet, um ein angemessenes Sicherheitsniveau zu gewährleisten und unautorisierte Änderungen zu vermeiden. Dies beinhaltet die Definition, Implementierung, Überwachung und Überprüfung der Konfiguration. Neben der Richtlinie für das Konfigurationsmanagement soll zusätzlich ein Prozess für die Überprüfung sowie die Genehmigung von Sicherheitskonfigurationen und Prozessen erstellt werden.
8.10 Löschung von Informationen
Dieses Control beinhaltet die Anforderungen zur Datenspeicherung im Hinblick auf DSGVO. Darüber hinaus sollen Informationen, die in Informationssystemen, Geräten oder auf anderen Speichermedien gespeichert sind, gelöscht werden, sobald diese nicht mehr benötigt werden. Daher sollen die Unternehmen einen Prozess einrichten, der zum einen festlegt, welche Daten zu welchem Zeitpunkt gelöscht werden müssen, und zum anderen die Verantwortlichkeiten und Methoden für die Löschung definiert. Zudem sollte eine Richtlinie zur Informationsvernichtung erstellt und innerhalb des Unternehmens kommuniziert werden.
8.11 Datenmaskierung
Bei der Datenmaskierung geht es zusammengefasst um die Beschränkung, Anonymisierung sowie Pseudonymisierung von Daten. Das Control verlangt von den Unternehmen mit Hilfe der Datenmaskierung die Offenlegung sensibler Informationen zu begrenzen. Damit sind in erster Linie personenbezogene Daten gemeint, da diese durch Datenschutzbestimmungen stark reguliert werden. Zusätzlich können auch andere Kategorien sensibler Daten einbezogen werden. Die Datenmaskierung sollte in Übereinstimmung mit der themenspezifischen Richtlinie der Organisation zur Zugriffskontrolle sowie den geschäftlichen Anforderungen unter Berücksichtigung der geltenden Rechtsvorschriften erfolgen.
Die Erstellung einer Informationsschutzpolitik ist zwar nach der Norm optional, allerdings sollen durch das Unternehmen Prozesse eingerichtet werden, die festlegen, welche Daten maskiert werden müssen, wer auf welche Art von Daten zugreifen darf und welche Methoden zur Maskierung der Daten verwendet werden.
8.12 Verhinderung von Datenverlusten
Hierbei wird von den Unternehmen verlangt, dass verschiedene Maßnahmen festgelegt werden, die Datenlecks verhindern sollen, um die unbefugte Offenlegung sensibler Informationen zu verhindern. Zusätzlich sollen durch diese Sicherheitsmaßnahmen solche Vorfälle frühzeitig erkannt werden. Die Maßnahmen sollen auf Systeme, Netzwerke und alle anderen Geräte angewendet werden, die sensible Informationen verarbeiten, speichern oder übertragen.
In der Umsetzung bedeutet dies für die Unternehmen, dass Prozesse eingerichtet werden müssen, die die Sensibilität der Daten bestimmen, die Risiken verschiedener Technologien bewerten und Kanäle mit dem Potenzial für Datenlecks überwachen und festlegen. Ziel der Prozesse soll es sein die Offenlegung sensibler Daten zu verhindern. Eine zusätzliche Informationsschutzpolitik ist für dieses Control nicht zwingend erforderlich.
8.16 Überwachungstätigkeiten
Dieses Control verlangt, die Systeme des Unternehmens sowie abweichende Aktivitäten proaktiv zu überwachen, um diese frühzeitig zu erkennen und gegebenenfalls entsprechend auf den Vorfall zu reagieren. Durch die geeigneten Maßnahmen sollen potenzielle Informationssicherheitsvorfälle besser erkannt und bewertet werden.
Für eine konforme Dokumentation ist eine Protokollierungs- und Überwachungsrichtlinie notwendig. Zudem ist ein Prozess erforderlich, der festlegt welche Systeme überwacht werden und wer für die Überwachung Zuständig ist. Des Weiteren müssen Methoden für die Überwachung, die Erstellung sowie die Meldung von Ereignissen und Vorfällen bestimmt werden.
8.23 Web-Filterung
In diesem Control sollen Maßnahme festgelegt werden, die den Zugriff zu gefährlichen Webseiten verhindern, die Malware verbreiten oder aber unbefugt Daten auslesen. Daher muss das Unternehmen die Zugriffsrechte der Mitarbeiter verwalten, um die Systeme und Vermögenswerte zu schützen. Auf diese Weise kann verhindert werden, dass die Systeme kompromittiert und Illegale Inhalte aus dem Internet verwendet werden.
Die Erstellung einer Netzwerksicherheitspolitik ist dem Unternehmen selbst überlassen. Dennoch sollen Prozesse eingerichtet werden, welche die nicht erlaubten Webseiten sowie die notwendigen Web-Filter-Tools, inklusive des Überprüfungszeitraums, bestimmen.
8.28 Sichere Kodierung
Bei der Softwareentwicklung sollten die Grundsätze der sicheren Kodierung angewandt werden, um Sicherheitsschwachstellen in der Software zu verringern. Dies umfasst sowohl die Aktivitäten vor der Kodierung als auch während und danach.
Hierfür ist auch eine Richtlinie für die sichere Entwicklung und die sichere Kodierung notwendig. Zudem muss ein Prozess zur Definition der Mindestanforderungen an die sichere Kodierung eingerichtet werden, welcher sowohl für die interne als auch die externe Softwareentwicklung gilt. Darüber hinaus müssen Verfahren zur Überwachung neu auftretender Bedrohungen, zur Beratung über sichere Kodierung und zur Entscheidung über die verwendeten externen Tools und Bibliotheken festgelegt werden.
Fazit
Abschließend muss berücksichtigt werden, dass lediglich vier Controls inhaltlich komplett identisch geblieben sind. Dies hat zur Folge, dass es nicht ausreicht die neuen Controls in das Risikomanagement und die SoA (Statement of Applicability) einzupflegen sowie zu bewerten. Die Anforderungen bei bestehenden oder zusammengefassten Controls wurden zum einen spezifiziert und zum anderen hinzugefügt. Daraus resultierend stehen Unternehmen vor der großen Herausforderung über 800 neue oder geänderte Anforderungen umzusetzen. Darüber hinaus ist zu beachten, dass die tatsächlichen Auswirkungen der Revision auf Unternehmen von verschiedenen Faktoren abhängig sind. Daher wird empfohlen, sich mit einem Experten für Informationssicherheit Verbindung zu setzen, um die genauen Auswirkungen der ISO 27001:2022 auf Ihr Unternehmen zu ermitteln und geeignete Maßnahmen umzusetzen.
von Michael Wager | Apr 25, 2023 | GRC & Informationssicherheit, News
von Dominik Weyand
Anpassung der Normen
Seit der letzten Revision sind die Cybergefahren stark angestiegen, die Anforderungen an den Datenschutz wurden verschärft und die technische Entwicklung ist vorangeschritten. Aus diesen Gründen war es notwendig die Anforderungen an die ISO/IEC 27002 sowie an die ISO/IEC 27001 von Grund auf zu überarbeiten. Diese Anpassungen wurden in Form der ISO/IEC 27001:2022 und der ISO/IEC 27002:2022 bereits veröffentlicht.
Änderungen durch die Revision
Die wesentlichen Änderungen beziehen sich auf die inhaltliche Umstrukturierung der ISO/IEC 27002. Vergleicht man die beiden Gliederungen, so ist schnell erkennbar, dass in dem neuen Standard aus 114 Maßnahmen in 14 Bereichen 93 Maßnahmen in 4 Bereichen geworden sind. Die Reduzierung ist dadurch erklärbar, dass bestimmte Inhalte zusammengefasst, allerdings nicht weggefallen sind. Zusätzlich gibt es 11 neue Maßnahmen, welche in dieser Form im vorherigen Standard nicht existieren. Weiterhin wird in der neuen Version das Ziel jeder Maßnahme explizit definiert und durch weitere Informationen spezifiziert. Die folgenden 11 neuen Maßnahmen wurden aufgenommen, um aktuelle Entwicklungen in der Informationssicherheit zu berücksichtigen:
| 5.7 Bedrohungsintelligenz |
Organisatorische Maßnahme |
| 5.23 Informationssicherheit für die Nutzung von Cloud-Diensten |
Organisatorische Maßnahme |
| 5.30 IKT-Bereitschaft für Geschäftskontinuität |
Organisatorische Maßnahme |
| 7.4 Überwachung der physischen Sicherheit |
Physische Maßnahme |
| 8.9 Konfigurationsmanagement |
Technologische Maßnahme |
| 8.10 Löschung von Informationen |
Technologische Maßnahme |
| 8.11 Datenmaskierung |
Technologische Maßnahme |
| 8.12 Verhinderung von Datenverlusten |
Technologische Maßnahme |
| 8.16 Überwachungstätigkeiten |
Technologische Maßnahme |
| 8.23 Web-Filterung |
Technologische Maßnahme |
| 8.28 Sichere Kodierung |
Technologische Maßnahme |
Hierbei muss beachtet werden, dass nicht einfach alle Maßnahmen aus dem Anhang abgearbeitet werden sollen, sondern die Risiken aus der jeweiligen Unternehmensperspektive zu betrachten sind. Die neue Version fordert also, dass dem Blick in den Normenkontext der Blick auf die Situation und die Bedürfnisse des Unternehmens vorausgehen muss. Auf dieser Grundlage müssen die Risiken analysiert und Maßnahmen für das Unternehmen abgleitet werden.
Neben den signifikanten Änderungen des Anhangs wurden auch einige Stellen in der Norm angepasst. So wurden beispielsweise in den Kapiteln einzelne Anforderungen umformuliert oder durch zusätzliche Aufzählungspunkte ergänzt. Darüber hinaus wurde das Unterkapitel 9.3 Managementbewertung stärker untergliedert, um die Bedeutung dieser hervorzuheben. Ebenso wurde die Reihenfolge in Kapitel 10 Verbesserung getauscht, wodurch die fortlaufende Verbesserung vor den Umgang mit Nichtkonformitäten und Korrekturmaßnahmen gestellt wird.
Handlungsbedarf
Die neuen Anpassungen im Anhang sorgen dafür, dass das Informationssicherheitsmanagement gemäß ISO/IEC 27001 mit anderen Managementsystemen zu einem integrierten Managementsystem zusammengefügt werden kann und die Unternehmen somit von den Synergieeffekten profitieren. Auf Grund der stetig steigenden Anzahl an Anforderungen und Managementsystemen führt dies zu einer Reduzierung des operativen Aufwands. An erster Stelle sollen allerdings die zuvor genannten Änderungen bereits enthaltene Inhalte spezifizieren und keine grundlegend neuen Anforderungen an das Informationssicherheitssystem stellen. Während das Managementsystem also weitestgehend gleich bleibt, liegt die wirkliche Arbeit beim Umstieg auf die neue ISO 27001:2022 in der Umstellung der Risikoanalyse auf die neuen Controls. Die Übergangsfrist für die Umstellung auf die neue Version beläuft sich gemäß den Vorgaben des International Accreditation Forum (IAF) auf den 31.10.2025. Unternehmen, die vor einer Rezertifizierung stehen, können bis zu diesem Zeitpunkt entscheiden, ob sie nach dem bisherigen oder dem neuen Standard zertifiziert werden. Für Unternehmen, die neu anfangen ist es ratsam sich direkt an der Version 2022 zu orientieren. Somit lässt sich festhalten, dass sich der Umfang der Änderungen für bereits zertifizierte Unternehmen im Rahmen hält und diese besser gleich umgesetzt werden sollen. Der Aufwand für Unternehmen, die bislang die Punkte des Anhangs lediglich abgehakt haben ist jedoch um ein vielfaches höher. Insbesondere die Überarbeitung der SoA (Statement of Applicability), welche die Maßnahmen zur Behandlung von Risiken auflistet und beschreibt, nimmt einige Zeit in Anspruch. Ebenso müssen die in der Risikoanalyse festgestellten Risiken mit wirksamen Maßnahmen verknüpft werden. Darüber hinaus ist es wichtig alle in der Norm enthaltenen Anforderungen zu bearbeiten. Sollten bestimmte Anforderungen nicht zum Unternehmen passen muss hierzu eine Begründung abgegeben werden, weshalb diese nicht für das Unternehmen relevant sind.
Abschließend ist zu beachten, dass die tatsächlichen Auswirkungen der Revision auf Unternehmen von verschiedenen Faktoren abhängig sind. Daher wird empfohlen, sich mit einem Experten für Informationssicherheit Verbindung zu setzen, um die genauen Auswirkungen der ISO 27001:2022 auf Ihr Unternehmen zu ermitteln und geeignete Maßnahmen umzusetzen.
