Beratung zur ISO 27001:2022

Wir unterstützen Sie beim Umstieg ihres ISMS oder bei der Neueinführung eines ISMS auf die durch unsere kompetente Beratung zur ISO 27001:2022 und begleiten Sie auch auf dem Weg zur Zertifizierung Ihrer Informationsischerheit nach dem neuen Standard.

Was Sie jetzt über die neue Version ISO 27001:2022 wissen müssen.

Die wichtigsten Informationen für Sie zusammengefasst!

Was Sie für den Umstieg wissen müssen:

  • ​Die ISO 27001:2013 wird an die neue Struktur der ISO 27001:2022 angepasst und wird im ersten Halbjahr 2022 eingeführt. Mit der Gültigkeit der Überarbeitung beginnt eine Übergangszeit zur verpflichtenden Umsetzung für die Zertifizierung.
  • Die bisherige thematische Gruppierung der 114 Maßnahmen in 14  Maßnahmenbereiche im Annex A, werden in 93 neue Maßnahmen eingeteilt, die mit den vier Themenbereichen Organizational controls (37), People controls (8), Physical controls (14) oder Technological controls (34) die neue Struktur bilden.
  • Zur neuen Struktur sind 11 neue Maßnahmen hinzu gekommen und es wurden nur drei Maßnahmen gestrichen (11.2.5 Removal of assets, 8.2.3 Handling of Assets, 16.1.3 Reporting information security weaknesses). Diverse Controls sind konsolidiert bzw. zusammengefasst worden und 61 Controls sind unverändert geblieben. 

11 neue Controls der ISO 27001:2022 für Ihr ISMS

1. Threat Intelligence: Sie müssen verstehen wie Angreifer vorgehen und mit welchen Methoden Ihre IT-Landschaft gefährdet ist

2. Information security for use of cloud services: Cloud-Anbieter müssen ihre Strategie von der Einführung, dem Betrieb und der Ausserbetriebnahme betrachten

3. ICT Readiness for Business Continuity: Aus der Perspektive der Business-Prozesse müssen die Anforderungen für die IT-Landschaft abgeleitet werden

4. Physical security monitoring: Zur Erkennung und Vermeidung unautorisierter physischer Zutritte soll ein Alarmierungs- und Überwachungssystem eingeführt werden.

5. Configuration management: Im Rahmen der sichere Konfiguration von IT-Systemen gewinnt die System-Härtung zunehmend an Bedeutung.

6. Information deletion: Das sichere Löschen von Informationen zur Wahrung externer Anforderungen durch Löschkonzepte im Rahmen des Datenschutzes, müssen umgesetzt werden.

7. Data masking: Anhand verschiedener Maskierungstechniken wie Anonymisierung und Pseudonymisierung soll der Schutz von Daten noch weiter erhöht werden.

8. Data leakage prevention: Durch eine Strategie zur Data Leakage Prevention (DLP) soll gewährleistet werden, einen unautorisierten Datenabfluss zu vermeiden.

9. Monitoring activities: Netzwerk- und Anwendungsverhalten sollen überwacht werden, um Anomalien zu detektieren und zu untersuchen.

10. Web filtering: Der Zugriff auf externe Websites, die Schad-Codes enthalten können, ist anhand von Webfilter-Methoden zu verhindern.

11. Secure Coding: Gewährleistung einer sicheren Programmierung, der Nutzung von geeigneten Tools und die Überwachung genutzter Bibliotheken und Repositorien sowie das Kommentieren und Nachvollziehen von Änderungen und das Vermeiden unsicherer Programmiermethoden.

Neue Unterteilung in vier Kategorien:

1. Organisatorische Maßnahmen (37 Controls)

2. Personelle Maßnahmen (8 Controls)

3. Physische Maßnahmen (14 Controls)

4. Technologische Maßnahmen (34 Controls)

Die neuen Attribute der ISO 27001:2022

Control Type: Wirkungsweise der Maßnahme

Information Security Property: Auswirkung auf die Sicherheitsziele Vertraulichkeit, Integrität und Verfügbarkeit

Cybersecurity Concepts: Ein- und Zuordnung in Security Frameworks

Operational Capabilities: Operative Fähigkeiten der Organisation

Security Domains: NIS Sicherheitsdomänden der ENISA

Die 6 SEMPACON Schritte für Ihren Projekterfolg zur Einführung eines ISMS auch für die ISO 27001:2022

Reifegrad und GAP-Analyse

  • Überprüfung der vorhandenen Dokumentation
  • Durchführung der Reifegrad-Ermittlung
  • Durchführung der GAP-Analyse
  • Nachbearbeitung und Erstellen der Auswertung
  • Präsentation und Besprechung der Ergebnisse
  • Empfehlungen zur weiteren Vorgehensweise

Projektplanung

  • Abstimmung des Projektplans und Projektstrukturplans
  • Abstimmung eines Terminplans
  • Bestimmung der Projektziele
  • Aufbau des Projekt-Teams
  • Planung und Definition der Projektorganisation
  • Durchführung der Projekt – Umweltanalyse
  • Klärung von Projektrisiken
  • Festlegung von Projektregeln
  • Durchführung des Kick-Off

Projektphase / Durchführung

  • ​Priorisierung und Umsetzung der Arbeitspakete gemäß
    Projektstrukturplan
  • Durchführung regelmäßiger Jourfix-Termine zur Besprechung iterativer
    Projektphasen
  • Erstellung der gesamten ISMS – Dokumentation
  • Schulung der Mitarbeiter
  • Roll-Out und Umsetzung der geplanten Maßnahmen

Bewertung der ISMS Leistung

  • Überprüfung der Erfüllung der ISO 27001 Anforderungen
  • Abgleich der Maßnahmen mit den Anforderungen interessierter Parteien
  • Prüfung der Wirksamkeit von umgesetzten Maßnahmen
  • Durchführung von finalen Korrekturen
  • Durchführung eines Pre-Audits
  • Erstellen eines Management – Reports

Zertifizierung des ISMS

  • Vorbereitung des Audits hinsichtlich der Terminierung
  • Anmelden des Zertifizierungs-Audits
    bei einem ausgewählten
    Zertifizierungsdienstleister
  • Durchführung des Audits mit einem externen Auditor
  • Begleitung des externen Zertifizierungs-Audits
  • Nachbearbeitung der Ergebnisse

Projektabschluss

  • Erarbeitung der Maßnahmenpläne aus den Ergebnissen der Punkte aus dem Audit
  • Priorisierung von weiteren Aktivitäten
  • Lessons-Learning Meeting
  • Projektabschluss

Verbessern Sie die IT-Sicherheit in Ihrem Unternehmen. Abonnieren Sie den SEMPACON-Alert und erhalten wertvolle Informationen zu aktuellen Cyber-Gefahren und unseren kostenlosen Webinaren.

Ihre Nachricht an SEMPACON

Sie haben Fragen rund um die IT-Sicherheit für Ihr Unternehmen oder andere Themen? Dann freuen wir auf Ihre Kontaktaufnahme!