Norm ISO/IEC 27001:2022 trägt Cyberrisiken mehr Rechnung

Um den globalen Herausforderungen im Bereich der Cybersicherheit zu begegnen und das digitale Vertrauen zu stärken, wurde soeben eine neue und verbesserte Version der ISO/IEC 27001 veröffentlicht, die Version ISO/IEC 27001:2022. Die weltweit bekannteste Norm für das Informationssicherheitsmanagement hilft Organisationen dabei, ihre Informationen zu schützen – ein entscheidender Faktor in der heutigen zunehmend digitalen Welt.

Die Bedeutung der ISO/IEC 27001-Zertifizierung

Die Cyberkriminalität wird immer schwerwiegender und raffinierter, da die Hacker immer fortschrittlichere Techniken für Cyberkriminalität entwickeln. Aus dem Bericht Global Cybersecurity Outlook des Weltwirtschaftsforums geht hervor, dass Cyberangriffe im Jahr 2021 weltweit um 125 % zugenommen haben, und es gibt Hinweise auf einen weiteren Anstieg bis 2022. In dieser sich schnell verändernden Landschaft müssen Führungskräfte einen strategischen Ansatz für Cyber-Risiken wählen.

Die ISO/IEC 27001-Zertifizierung, die von Zehntausenden von Organisationen übernommen wurde, zeigt das Engagement einer Organisation für die Informationssicherheit und gibt Kunden und anderen Partnern die Gewissheit, dass sie es mit dem Schutz der von ihr kontrollierten Informationen ernst meint. Die Norm ist technologieunabhängig, so dass es keine Rolle spielt, welche Technologieumgebung eine Unternehmung besitzt. Sie ist so formuliert, dass sie von jeder Organisation, vom Kleinunternehmen bis hin zum grossen Multi-Milliarden-Dollar-Unternehmen, angewendet werden kann.

Weiterentwicklung zur Bewältigung der Bedrohungen

ISO/IEC 27001 legt die Anforderungen für die Einrichtung, Umsetzung, Aufrechterhaltung und kontinuierliche Verbesserung eines ISMS für Sicherheit und Schutz fest. Sie enthält auch Anforderungen für die Bewertung und Behandlung von Informationssicherheitsrisiken, die auf die Bedürfnisse einer Organisation zugeschnitten sind. Richtig angewendet, kann die Norm zu folgenden Ergebnissen führen:

• Erhöhte Glaubwürdigkeit
• Verringerung des Risikos von Betrug, Informationsverlust und Offenlegung
• Demonstration der Integrität eigener Systeme
• Veränderung der Unternehmenskultur und grösseres Bewusstsein für die Bedeutung der Informationssicherheit
• Neue Geschäftsmöglichkeiten mit sicherheitsbewussten Kunden
• Ein stärkeres Bewusstsein für Vertraulichkeit am Arbeitsplatz
• Bessere Vorbereitung auf das Unvermeidliche – das nächste Sicherheitsereignis oder den nächsten Vorfall

Willy Fabritius, Global Head, Strategy & Business Development von SGS, einem weltweit tätigen Prüf-, Inspektions- und Zertifizierungsunternehmen, kommentiert: „Die ISO/IEC 27001 wurde zuletzt 2013 aktualisiert, und die Cyberwelt und ihre Bedrohungen haben sich dramatisch weiterentwickelt. Die Norm musste sich dem anpassen.“ Eine wichtige Veränderung besteht schon allein im Titel der Norm. Er lautet: ISO/IEC 27001:2022 – Informationssicherheit, Cybersicherheit und Schutz der Privatsphäre – Managementsysteme für Informationssicherheit – Anforderungen. Zu den weiteren Änderungen gehören unter anderem die Nummerierung der Abschnitte, ein neuer und neu angeordneter Text sowie Aktualisierungen von Anhang A.

Umsetzung von ISO/IEC 27001:2022: Was heisst das nun?

Wenn eine Organisation bereits ISO/IEC 27001-konform ist, sind keine technischen Änderungen erforderlich, sondern lediglich Aktualisierungen der Dokumentation. Möglicherweise müssen sie ihre internen Richtlinien entsprechend den neuen Unterklauseln und geänderten Anforderungen überarbeiten. Die Ergebnisse ihrer Risikobewertung und der Risikobehandlungspläne sollten ebenfalls überprüft und die Anwendbarkeitserklärung (Statement of Applicability – SoA) aktualisiert werden.

Die Übergangsfrist beträgt drei Jahre ab dem Zeitpunkt der offiziellen Veröffentlichung von ISO/IEC 27001:2022, so dass ausreichend Zeit bleibt, die Anforderungen zu erfüllen. Ein bereits erworbenes ISO/IEC 27001-Zertifikat bleibt bis zum Ende dieses Zeitraums gültig. Willy Fabritius empfiehlt: „Wenn Sie Ihre Zertifizierung während des Übergangszeitraums erneuern, können Sie sich an die neuen Kontrollen halten, um zu vermeiden, dass Sie es bis zur letzten Minute aufschieben.“

Quellen: ISO, SGS