Wie ändern sich die einzelnen Abschnitte in ISO 27001:2022?
Im Folgenden erfahren Sie, welche Aspekte sich in den einzelnen Abschnitten der neuen ISO 27001:2022 ändern.
Kontext und Anwendungsbereich
Die Anwendungsbereichsklausel gilt nun für „relevante“ Anforderungen interessierter Parteien und notwendiger Prozesse. Das bedeutet, dass Organisationen die Bedürfnisse all ihrer Stakeholder berücksichtigen müssen, nicht nur die ihrer Kunden und Lieferanten.
Planung
In der überarbeiteten Version fordert die Planungsklausel, dass Organisationen ihre Ziele für die Informationssicherheit definieren und regelmäßig überwachen und überprüfen. Dies ist eine Änderung gegenüber der früheren Version, die lediglich verlangte, dass Organisationen ihre Richtlinien zur Informationssicherheit definieren.
Unterstützung
Die aktualisierte Unterstützungsklausel verlangt, dass Organisationen klare Kommunikationswege für Sicherheitsrisiken etablieren. Dies beinhaltet die regelmäßige Schulung der Mitarbeiter und die Sicherstellung, dass alle relevanten Informationen zu Sicherheitsrisiken effektiv kommuniziert werden.
Durchführung
Die Durchführungsklausel wurde erweitert, um sicherzustellen, dass Organisationen auch „extern erbrachte Prozesse, Produkte oder Dienstleistungen” kontrollieren, die für ihr ISMS relevant sind. Diese Änderung betont die Notwendigkeit einer umfassenden Kontrolle über alle Informationssicherheitsaspekte, einschließlich externer Partner und Lieferanten.
Die neue Struktur der Anhang-A-Kontrollen in ISO 27001:2022
Die neue Struktur der Anhang-A-Kontrollen ist eine deutliche Verbesserung gegenüber der vorherigen Version. Sie erleichtert es Organisationen, ein effektives Informationssicherheits-Managementsystem zu implementieren und ihre Assets vor Bedrohungen zu schützen.
Die Kontrollen sind in die vier Säulen der Informationssicherheit gegliedert
Die Struktur folgt den vier Säulen der Informationssicherheit und umfasst somit organisatorische, personenbezogene, physische und technologische Kontrollen. Dies ist eine deutliche Verbesserung gegenüber der vorherigen Version, die 14 Kontrolldomänen hatte. Die neue Struktur soll es Organisationen erleichtern, die für ihre Bedürfnisse relevantesten Kontrollen auszuwählen und umzusetzen.
-
Die organisatorische Kategorie umfasst 37 Kontrollen, die die allgemeine Verwaltung der Informationssicherheit in einer Organisation behandeln, wie die Festlegung einer Informationssicherheitsrichtlinie und die Durchführung von Risikobewertungen.
-
Die personenbezogene Kategorie enthält 8 Kontrollen zur Rolle von Personen in der Informationssicherheit, wie die Schulung von Mitarbeitern zu den Best Practices der Informationssicherheit, die Durchführung von Background-Checks bei Neueinstellungen und die Zugangsverwaltung von Benutzern zu sensiblen Informationen.
-
Die physische Kategorie fasst 14 Kontrollen zusammen, die die physische Sicherheit von Informationswerten behandeln, wie die Sicherung von Gebäuden und Einrichtungen, den Schutz von Computerräumen und die Entsorgung sensibler Dokumente.
-
Die technologische Kategorie beinhaltet 34 Kontrollen bezüglich technologischer Aspekte der Informationssicherheit, wie die Implementierung von Firewalls und Antivirensoftware, die Verschlüsselung von Daten und die Verwaltung des Zugriffs auf Informationssysteme.
ISO 27001:2022 enthält elf neue Kontrollen
Zusätzlich zur neuen Struktur enthält ISO 27001:2022 auch elf neue Kontrollen. Sie sind darauf ausgelegt, vor neuen Bedrohungen wie Cloud-Computing und Social Engineering zu schützen. Die neuen Kontrollen sollen auch die Effektivität von Informationssicherheits-Managementsystemen verbessern, indem sie Organisationen mehr Optionen zur Risikominderung bieten.
Die folgenden Kontrollen wurden neu eingeführt:
Mit der Einführung dieser neuen Anhang-A-Kontrollen könnten Organisationen je nach Risikoeinschätzung und Anforderungen dazu verpflichtet sein, mehr als 15 neue ISMS-Dokumente, Richtlinien und Verfahren in ihr ISMS zu integrieren.