Managementsystem für Informationssicherheit - ISO/IEC 27001

26.08.2022

Essen: Im vierten Quartal dieses Jahres wird voraussichtlich die Publikation der ISO/IEC 27001:2022 erwartet. Bereits am 09. August 2022 veröffentlichte das International Accreditation Forum (IAF) mit dem Dokument IAF MD 26:2022 die entsprechenden Übergangsregelungen.

Darin wurden einige Regelungen verschriftlicht, die in Kraft treten, sobald die revidierte Norm veröffentlicht wird. Das IAF weist darauf hin, dass die ISO/IEC 27001:2022 keine vollständige revidierte Ausgabe ist, es aber einige wichtige Änderungen gibt:

1. Anhang A verweist auf die Maßnahmen in ISO/IEC 27002:2022, die Informationen zu Maßnahmentiteln und Maßnahmen enthält.
2. Die Anmerkungen zu Abschnitt 6.1.3 c) wurden redaktionell überarbeitet, einschließlich der Streichung der „Maßnahmenziele“ und die Verwendung des Begriffs "Informationssicherheitsmaßnahme" anstatt „Maßnahme“.
3. Der Wortlaut von Abschnitt 6.1.3 d) wurde neu geordnet, um mögliche Unklarheiten zu beseitigen.
4. Im Vergleich zur vorangegangenen Ausgabe verringert sich die Anzahl der Maßnahmen in ISO/IEC 27002:2022 von 114 in 14 Abschnitten auf 93 in 4 Abschnitten. Von den Maßnahmen in ISO/IEC 27002:2022 sind 11 neu, 24 wurden aus bestehenden Maßnahmen zusammengeführt und 58 Maßnahmen werden aktualisiert. Darüber hinaus wurde die Maßnahmenstruktur überarbeitet.

Die Übergangsfrist für die zertifizierten Unternehmen beträgt drei Jahre. Nach Ablauf dieser Frist verlieren alle Zertifikate nach ISO/IEC 27001:2013 ihre Gültigkeit.

Mehr Informationen können Sie im Dokument IAF MD 26:2022 nachlesen.

Was ist ISO/IEC 27001?

ISO/IEC 27001 ist heute die anerkannteste internationale Norm für Informationssicherheits-Managementsysteme. Sie legt die Anforderungen für Herstellung, Einführung, Betrieb, Überwachung, Wartung und Verbesserung eines dokumentierten Informationssicherheits-Managementsystems (ISMS) fest. Dabei werden auch individuelle IT-Risiken innerhalb der gesamten Organisation berücksichtigt, um Datenschutz und Informationssicherheit ganzheitlich gewährleisten zu können. Sie unterstützt Organisationen dabei, eine Politik und Ziele für das Management der Informationssicherheit festzulegen und zu verstehen, welche wichtigen Aspekte verwaltet werden können, notwendige Kontrollen zu implementieren und klare Ziele zur Verbesserung der Informationssicherheit zu setzen. Denn Informationen bilden die betriebliche Basis für Ihre Geschäftstätigkeit und sind somit als immaterielle Unternehmenswerte zu verstehen. Die Norm spezifiziert branchenunabhängig Anforderungen für die Implementierung von geeigneten IT-Sicherheitsmechanismen, die an die individuellen Anforderungen der einzelnen Organisationen angepasst werden sollen. Die ISO/IEC 27001 wurde entwickelt, um die Auswahl geeigneter Sicherheitsmechanismen zum Schutz sämtlicher Informationswerte eines Unternehmens sicherzustellen und bildet methodisch die Grundlage auch für andere Sicherheitsverfahren und -normen.

ISO 27001 ist so konzipiert, dass sie mit anderen anerkannten Managementsystemnormen kompatibel und harmonisiert ist. Sie ist daher ideal für die Integration in bestehende Managementsysteme und -prozesse, z. B. nach ISO 9001, ISO 14001 oder ISO 50001. (Quelle: https://www.dnv.de/services/iso-iec-27001-managementsystem-fur-informationssicherheit-3327)