Was Sie jetzt über die neue Version ISO 27001:2022 wissen müssen.
Die wichtigsten Informationen für Sie zusammengefasst!
Was Sie für den Umstieg wissen müssen:
- Die ISO 27001:2013 wird an die neue Struktur der ISO 27001:2022 angepasst und wird im ersten Halbjahr 2022 eingeführt. Mit der Gültigkeit der Überarbeitung beginnt eine Übergangszeit zur verpflichtenden Umsetzung für die Zertifizierung.
- Die bisherige thematische Gruppierung der 114 Maßnahmen in 14 Maßnahmenbereiche im Annex A, werden in 93 neue Maßnahmen eingeteilt, die mit den vier Themenbereichen Organizational controls (37), People controls (8), Physical controls (14) oder Technological controls (34) die neue Struktur bilden.
- Zur neuen Struktur sind 11 neue Maßnahmen hinzu gekommen und es wurden nur drei Maßnahmen gestrichen (11.2.5 Removal of assets, 8.2.3 Handling of Assets, 16.1.3 Reporting information security weaknesses). Diverse Controls sind konsolidiert bzw. zusammengefasst worden und 61 Controls sind unverändert geblieben.
11 neue Controls der ISO 27001:2022 für Ihr ISMS
1. Threat Intelligence: Sie müssen verstehen wie Angreifer vorgehen und mit welchen Methoden Ihre IT-Landschaft gefährdet ist
2. Information security for use of cloud services: Cloud-Anbieter müssen ihre Strategie von der Einführung, dem Betrieb und der Ausserbetriebnahme betrachten
3. ICT Readiness for Business Continuity: Aus der Perspektive der Business-Prozesse müssen die Anforderungen für die IT-Landschaft abgeleitet werden
4. Physical security monitoring: Zur Erkennung und Vermeidung unautorisierter physischer Zutritte soll ein Alarmierungs- und Überwachungssystem eingeführt werden.
5. Configuration management: Im Rahmen der sichere Konfiguration von IT-Systemen gewinnt die System-Härtung zunehmend an Bedeutung.
6. Information deletion: Das sichere Löschen von Informationen zur Wahrung externer Anforderungen durch Löschkonzepte im Rahmen des Datenschutzes, müssen umgesetzt werden.
7. Data masking: Anhand verschiedener Maskierungstechniken wie Anonymisierung und Pseudonymisierung soll der Schutz von Daten noch weiter erhöht werden.
8. Data leakage prevention: Durch eine Strategie zur Data Leakage Prevention (DLP) soll gewährleistet werden, einen unautorisierten Datenabfluss zu vermeiden.
9. Monitoring activities: Netzwerk- und Anwendungsverhalten sollen überwacht werden, um Anomalien zu detektieren und zu untersuchen.
10. Web filtering: Der Zugriff auf externe Websites, die Schad-Codes enthalten können, ist anhand von Webfilter-Methoden zu verhindern.
11. Secure Coding: Gewährleistung einer sicheren Programmierung, der Nutzung von geeigneten Tools und die Überwachung genutzter Bibliotheken und Repositorien sowie das Kommentieren und Nachvollziehen von Änderungen und das Vermeiden unsicherer Programmiermethoden.
Neue Unterteilung in vier Kategorien:
1. Organisatorische Maßnahmen (37 Controls)
2. Personelle Maßnahmen (8 Controls)
3. Physische Maßnahmen (14 Controls)
4. Technologische Maßnahmen (34 Controls)
Die neuen Attribute der ISO 27001:2022
Control Type: Wirkungsweise der Maßnahme
Information Security Property: Auswirkung auf die Sicherheitsziele Vertraulichkeit, Integrität und Verfügbarkeit
Cybersecurity Concepts: Ein- und Zuordnung in Security Frameworks
Operational Capabilities: Operative Fähigkeiten der Organisation
Security Domains: NIS Sicherheitsdomänden der ENISA
Die 6 SEMPACON Schritte für Ihren Projekterfolg zur Einführung eines ISMS auch für die ISO 27001:2022
Reifegrad und GAP-Analyse
- Überprüfung der vorhandenen Dokumentation
- Durchführung der Reifegrad-Ermittlung
- Durchführung der GAP-Analyse
- Nachbearbeitung und Erstellen der Auswertung
- Präsentation und Besprechung der Ergebnisse
- Empfehlungen zur weiteren Vorgehensweise
Projektplanung
- Abstimmung des Projektplans und Projektstrukturplans
- Abstimmung eines Terminplans
- Bestimmung der Projektziele
- Aufbau des Projekt-Teams
- Planung und Definition der Projektorganisation
- Durchführung der Projekt – Umweltanalyse
- Klärung von Projektrisiken
- Festlegung von Projektregeln
- Durchführung des Kick-Off
Projektphase / Durchführung
- Priorisierung und Umsetzung der Arbeitspakete gemäß
Projektstrukturplan - Durchführung regelmäßiger Jourfix-Termine zur Besprechung iterativer
Projektphasen - Erstellung der gesamten ISMS – Dokumentation
- Schulung der Mitarbeiter
- Roll-Out und Umsetzung der geplanten Maßnahmen
Bewertung der ISMS Leistung
- Überprüfung der Erfüllung der ISO 27001 Anforderungen
- Abgleich der Maßnahmen mit den Anforderungen interessierter Parteien
- Prüfung der Wirksamkeit von umgesetzten Maßnahmen
- Durchführung von finalen Korrekturen
- Durchführung eines Pre-Audits
- Erstellen eines Management – Reports
Zertifizierung des ISMS
- Vorbereitung des Audits hinsichtlich der Terminierung
- Anmelden des Zertifizierungs-Audits
bei einem ausgewählten
Zertifizierungsdienstleister - Durchführung des Audits mit einem externen Auditor
- Begleitung des externen Zertifizierungs-Audits
- Nachbearbeitung der Ergebnisse
Projektabschluss
- Erarbeitung der Maßnahmenpläne aus den Ergebnissen der Punkte aus dem Audit
- Priorisierung von weiteren Aktivitäten
- Lessons-Learning Meeting
- Projektabschluss
Verbessern Sie die IT-Sicherheit in Ihrem Unternehmen. Gern unterstützen wir Sie umfassend und individuelle bei der Einführung eines ISMS
Ihre Nachricht an SEMPACON
Sie haben Fragen rund um die IT-Sicherheit für Ihr Unternehmen oder andere Themen? Dann freuen wir auf Ihre Kontaktaufnahme!