Ist Ihr Unternehmen von der NIS2-Richtlinie betroffen? Machen Sie den Betroffenheitscheck
Zum Check
Bg Shape
ISO 27001
8 min. Lesedauer

ISO 27001:2022 – Alle Änderungen im Überblick

Veröffentlicht am
13. März 2023
Autor
Stefania Vetere
Junior Consultant Information Security
Inhaltsverzeichnis

Es war lange überfällig, nun hat die internationale Organisation für Standardisierung (ISO) eine neue Version der ISO 27001 Norm veröffentlicht. Bis jetzt wurde zwar lediglich der Entwurf herausgegeben, die offizielle deutsche Publizierung wird jedoch jederzeit erwartet (Stand Mai 2022).

Im Gegensatz zu der letzten Überarbeitung, hat sich dieses Mal einiges verändert, sowohl strukturell als auch inhaltlich.  

Die einzelnen Maßnahmen werden nun in neue Themenbereiche eingeteilt, haben sich sprachlich geändert und weiteren Maßnahmen, deren Fokus vor allem auf Cloud-Security liegt, wurden ergänzt.

Allgemeine Veränderungen

Neben dem veränderten Namen des Standards, wurde diverse Maßnahmen-bezogene Aktualisierungen vorgenommen. Während die ISO 27001:20013er Norm 114 Maßnahmen abbildet, schließt das Update lediglich 93 Maßnahmen ein. So wurden zwar einige Maßnahmen neu eingeführt, anderen jedoch eliminiert oder zusammengefasst.

Während die Kontrollen zuvor in 14 Themenbereiche kategorisiert wurden, sind nach neuem Standard nur noch die folgenden vier Bereiche vorgesehen:

  • Organisatorische Maßnahmen
  • Technologische Maßnahmen
  • Physische Maßnahmen
  • Personelle Maßnahmen

Eine weitere Änderungen ist der stärkere Fokus auf Cyberrisiken, sodass Unternehmen nun adäquate Maßnahmen einführen müssen, um Ihr eine gestiegene Cybersicherheit zu erreichen.

Falls Ihr Unternehmen bereits nach ISO 27001:2013 zertifiziert ist, ist es zwar gut auf die Veränderungen vorbereitet, die Umstellung sollte jedoch frühzeitig berücksichtig werden.

Neu eingeführte Maßnahmen

Die Dynamik der sich stets verändernden Umwelt führt zu stetigen Veränderungen in den Anforderungen an die Informationssicherheit Ihres Unternehmens. Entsprechend der zunehmenden Relevanz diverser Cyber-Gefahren, wurden in der Neuauflage des ISO 27001-Standards einige Maßnahmen ergänzt.

  • 5.7 Threat Intelligence
  • 5.23 Informationssicherheit für Cloud Services
  • 5.30 IKT Bereitschaft des betrieblichen Kontinuitätsmanagement
  • 7.4 Monitoring physischer Sicherheit
  • 8.9 Konfigurationsmanagement
  • 8.10 Löschen von Informationen (Löschkonzept)
  • 8.11Anonymisierung
  • 8.12 Data Loss Prevention
  • 8.16 Überwachung von Aktivitäten
  • 8.22 Content-Filter
  • 8.28 Sichere Entwicklung

Dabei sticht insbesondere die Threat Intelligence-Maßnahme heraus, die als Reaktion der Corona-Pandemie gedeutet werden kann. Durch “Remote-Working” und zunehmen digitale und mobile Unternehmensstrukturen hat sich die Anfälligkeit von Systemen und so auch die Angriffsfläche für potenzielle Attacken massiv erhöht.

Welche Maßnahmen wurden zusammengefasst?

Wie bereits erwähnt, wurden einige Maßnahmen im Zuge der Aktualisierung zusammengefasst. Im Folgenden haben wir eine Übersicht für Sie zusammengestellt:

  • 5.1.1; 5.1.2 ⇒ 5.1 Informationssicherheitsrichtlinie
  • 6.1.5; 14.1.1 ⇒ 5.8 Informationssicherheit im Projektmanagement
  • 6.2.1; 11.2.8 ⇒ 8.1 User Endgeräte
  • 8.1.1; 8.1.2 ⇒ 5.9 Inventarisierung von Informationen und Werten
  • 8.1.3; 8.2.3 ⇒ 5.10 Geregelter Umgang mit Informationen und Werten
  • 8.3.1; 8.3.2; 8.3.3 ⇒ 7.10 Speichermedien
  • 9.1.1; 9.1.2 ⇒ 5.15 Zutrittsmanagement
  • 9.2.2; 9.2.5; 9.2.6 ⇒ 5.18 Berechtigungskonzept
  • 9.2.4; 9.3.1; 9.4.3 ⇒ 5.17 Authentifizierung
  • 10.1.1; 10.1.2 ⇒ 8.24 Kryptographie
  • 11.1.2; 11.1.6 ⇒ 7.2 Physischer Zutrittsschutz
  • 12.1.2; 14.2.2; 14.2.3; 14.2.4 ⇒ 8.32 Change Management
  • 12.1.4; 14.2.6 ⇒ 8.31 Separierung von Entwicklungs-, Test- und Produktionsumgebung
  • 12.4.1; 12.4.2; 12.4.3 ⇒ 8.15 Logs
  • 12.5.1; 12.6.2 ⇒ 8.19 Installation von Software auf Systemen in Betrieb
  • 12.6.1; 18.2.3 ⇒ 8.8 Management von technischen Schwachstellen
  • 13.2.1; 13.2.2; 13.2.3 ⇒ 5.14 Übertragung von Informationen
  • 14.1.2; 14.1.3 ⇒ 8.26 Application Security Requirements
  • 14.2.8; 14.2.9 ⇒ 8.29 Sicherheitstest in Entwicklungsumgebung
  • 15.2.1; 15.2.2 ⇒ 5.22 Überwachung & Überprüfung von Change Management bei Lieferantenbeziehungen
  • 16.1.2; 16.1.3 ⇒ 6.8 Meldung von Informationssicherheitsvorfällen
  • 17.1.1; 17.1.2; 17.1.3 ⇒ 5.29 Aufrechterhaltung von Informationssicherheit
  • 18.1.1; 18.1.5 ⇒ 5.31 Einhaltung von gesetzlichen und vertraglichen Anforderungen
  • 18.2.2; 18.2.3 ⇒ 5.36 Compliance mit den Richtlinien und Anforderungen der Informationssicherheit
  • 11.2.5 und der Schutz von Werten außerhalb der Organisation war inhaltlich doppelt und ist daher ersatzlos gestrichen worden.

Wie kann TrustSpace Ihr Unternehmen bei der Implementierung eines ISMS nach dem aktualisierten ISO 27001-Standard unterstützen?

Durch TrustSpace automatisieren Sie die Informationssicherheit Ihres Unternehmens. Die integrierte Plattform sowie unser Team von ISO-Experten helfen Ihnen mittels moderner Monitoring-Tools die Einhaltung von Sicherheitsmaßnahmen jederzeit zu überprüfen und nachzuweisen. Insbesondere die Anforderungen der Threat Intelligence und des umfangreichen Cloud Monitorings sind bereits vollumfängliche integriert. Durch die vollständige Einbindung unserer Lösung in die Systemumgebung Ihres Unternehmens können wir zeitraubende, analoge Prozesse beschleunigen und Ihr ISMS direkt auf die Gegebenheiten Ihres Unternehmens anpassen.

Gerne können Sie ein kostenloses & unverbindliches Erstgespräch mit einem unserer ISO-Experten vereinbaren.  

Disclaimer: Da die aktualisierte Norm noch nicht offiziell in deutscher Sprache erschienen ist, sind die Übersetzungen sinngemäß erfolgt.  

Das könnte Sie auch interessieren...

Mit TrustSpace automatisieren Sie das Management Ihrer Informationssicherheit. Ihre All-in-One Lösung für IT Compliance.

Blog Image

IT-Sicherheit

NIS 2 Umsetzungsgesetz im Detail

Das NIS 2 Umsetzungsgesetz ist eine EU-weite Richtlinie zur Verbesserung der Cybersicherheit. Es führt strengere Sicherheitsanforderungen für Unternehmen ein und erweitert den Anwendungsbereich auf 18 kritische Sektoren.

Client Image

Stefania Vetere

13.01.2025

Arrow Icon
Blog Image

IT-Sicherheit

Risikomanagement und Compliance: Gesetzliche Anforderungen meistern, Risiken minimieren

Erfahren Sie, wie mittelständische Unternehmen durch effektives Risikomanagement und Compliance-Regeln rechtliche Risiken minimieren und ihre Wettbewerbsfähigkeit steigern.

Client Image

Stefania Vetere

07.01.2025

Arrow Icon
Blog Image

NIS-2

NIS 2 – Wen betrifft die EU-Direktive?

Die NIS 2 legt Cybersecurity-Maßnahmen für Betreiber kritischer Infrastrukturen fest. Doch wen betrifft die EU-Direktive?

Client Image

Stefania Vetere

01. Juli 2024

Arrow Icon

Ihre Sicherheit beginnt hier

Automatisieren Sie Ihre IT-Compliance

Jetzt Termin buchen