Informationssicherheit auf Basis der neuen ISO 27001 Zertifizierung

Was bedeutet die Aktualisierung der ISO 27001 für Ihr Unternehmen?

Spätestens im nächsten Jahr müssen die bestehenden ISO 27001-Zertifikate auf die neue Version von 2022 umgestellt werden. In diesem neuen Standard werden aktuelle Entwicklungen und Bedrohungen der Informationssicherheit berücksichtigt, um es Unternehmen zu ermöglichen, die Umsetzung der Informationssicherheit auf dem neuesten Stand zu halten und somit die bestmögliche Sicherheit vor Angriffen zu gewährleisten. Die neuen und angepassten Anforderungen der ISO 27001 müssen nun zeitnah umgesetzt werden, um die Zertifizierung nach der ISO 27001 für ein Unternehmen erreichen oder aufrechterhalten zu können.

Welche Vorteile bringt die Zertifizierung nach der ISO 27001 für Ihr Unternehmen?

Die Zertifizierung nach ISO 27001 demonstriert Ihre Kompetenzen im Bereich der Informationssicherheit, steigert das Vertrauen von Kunden und Partnern und verschafft Ihnen einen entscheidenden Wettbewerbsvorteil.

Gleichzeitig optimiert es Ihre internen Prozesse, reduziert das Risiko von Sicherheitsvorfällen und stellt sicher, dass Sie beständig den aktuellen Standards in der Informationssicherheit entsprechen. Verhindern Sie Imageverlust, Vertrauensverlust und wirtschaftliche Schäden durch die Implementierung geeigneter Sicherheitsmaßnahmen.

Was sind die Anforderungen der ISO 27001?

Die Normen der ISO 27000-Reihe behandeln die Etablierung von Informationssicherheit in Organisationen. Dabei beschreibt die ISO 27001 den Aufbau und Betrieb eines Informationssicherheitsmanagementsystems (ISMS), indem Anforderungen und Best Practices für die Einrichtung, Umsetzung, Aufrechterhaltung und kontinuierliche Verbesserung eines ISMS festgelegt werden.

Ein ISMS ist ein systematischer Ansatz zum Schutz von Informationen und umfasst die Aufstellung von Vorgaben, Verfahren und Regeln, die dazu dienen, die Informationssicherheitsrisiken des Unternehmens effektiv zu behandeln und zu reduzieren. Dadurch sollen die wesentlichen Schutzziele Vertraulichkeit, Integrität und Verfügbarkeit von Informationen erreicht werden.

Während die ISO 27001 einen normativen, anweisenden Charakter besitzt, ist die ISO 27002 deskriptiv, indem die Sicherheitsmaßnahmen, die im Anhang der ISO 27001 beschrieben werden, aufgegriffen und genauer erläutert, sowie Empfehlungen zur Umsetzung geliefert werden.

Was sind die Fristen für die Umsetzung der neuen ISO 27001?

Für die Zertifizierung nach der neuen ISO 27001 besteht eine Übergangsfrist bis einschließlich Oktober 2025. Um die Zertifizierung nach der neuen Version der ISO 27001 zu erreichen, müssen die Unternehmen im Übergangszeitraum nicht nur die Vorgaben der Norm umsetzen, sondern auch ein externes Zertifizierungsaudit erfolgreich bestehen.

Die Möglichkeit zur Zertifizierung oder Rezertifizierung gemäß der ISO 27001:2013 besteht noch bis April 2024. Ab diesem Zeitpunkt ist eine Zertifizierung nur noch nach der aktuellen ISO 27001:2022 möglich. Spätestens nach der Übergangsfrist bis Oktober 2025 sind die Zertifikate der ISO 27001:2013 dann ungültig.

Daher sollten Unternehmen, die ihre Zertifizierung aufrechterhalten möchten, jetzt konkrete Schritte unternehmen, um die Anforderungen der ISO 27001 zu erfüllen.

Wichtige Änderungen des Standards in der neuen Version

Die Änderungen beziehen sich hauptsächlich auf die Sicherheitsmaßnahmen, die im Anhang A der ISO 27001 genannt und in der ISO 27002 aufgegriffen und genauer beschrieben werden. Insgesamt wurden 11 neue Maßnahmen eingeführt sowie bestehende zusammengefasst, sodass sich die Anzahl von insgesamt 114 auf 93 reduziert. Diese Maßnahmen sind nun in die vier Kategorien organisatorisch, personenbezogen, physisch und technisch unterteilt. Für jede der jetzt 93 Maßnahmen muss individuell geprüft werden, ob die Implementierung davon im individuellen Fall einen Mehrwert für die Informationssicherheit schafft.

Nachfolgend sind die 11 neuen Maßnahmen aufgelistet und beschrieben:

• Threat Intelligence: Sammlung und Analyse von Informationen über die aktuelle Bedrohungslage, um angemessene Schutzmaßnahmen ergreifen zu können.
• Informationssicherheit für die Nutzung von Cloud-Diensten: Berücksichtigung von Informationssicherheitsanforderungen in den Prozessen für den Erwerb, die Nutzung, die Verwaltung und den Ausstieg aus Cloud-Diensten.
• IKT-Bereitschaft für Business Continuity: Auf der Grundlage der Ziele vom Business Continuity Management des Unternehmens muss auch die Einbindung von IKT-Komponenten daran berücksichtigt werden.
• Physische Sicherheitsüberwachung: Räumlichkeiten sind ständig auf unbefugten Zutritt zu überwachen.
• Konfigurationsmanagement: Konfigurationen, einschließlich Sicherheitskonfigurationen, von Hardware, Software, Diensten und Netzen sind zu erstellen, zu dokumentieren, umzusetzen, zu überwachen und zu überprüfen.
• Löschung von Informationen: Die in Informationssystemen, Geräten oder sonstigen Speichermedien gesicherten Informationen sind zu löschen, wenn diese nicht mehr benötigt werden.
• Datenmaskierung: Sensible Informationen, wie personenbezogene Daten, sollen dadurch geschützt werden, dass die Daten maskiert werden, indem bestimmte Informationen durch künstlich erzeugte, fiktive Daten ersetzt werden.
• Data Leakage Prevention: Maßnahmen zur Verhinderung von Datenlecks sind auf Systeme, Netze und andere Geräte anzuwenden, die sensible Informationen verarbeiten, speichern oder übertragen.
• Überwachungsaktivitäten: Netze, Systeme und Anwendungen sind auf anomales Verhalten zu überwachen und es sind geeignete Maßnahmen zu ergreifen, um auf potenzielle Vorfälle zu reagieren.
• Webfilterung: Der Zugang zu externen Websites muss so gesteuert werden, dass die Gefährdung durch bösartige Inhalte verringert wird.
• Sichere Softwareentwicklung: Die Grundsätze der sicheren Softwareentwicklung sind anzuwenden.

Da sich die konkrete Implementierung dieser Maßnahmen komplex gestalten kann und die Umsetzung abhängig von der individuellen Struktur der Unternehmensarchitektur ist, können wir Sie dabei unterstützen, die Anforderungen der neuen Maßnahmen in Ihrem Unternehmen bestmöglich zu erfüllen.

Konkrete Schritte zur Umsetzung der neuen Anforderungen

Um die Anforderungen der neuen ISO 27001 erfüllen zu können, sind nun folgende Schritte erforderlich:

1. Durchführung einer Evaluation für jede der 11 neuen Informationssicherheitsmaßnahmen, um zu ermitteln, ob es notwendig ist, diese Maßnahme zu implementieren.
2. Überarbeitung der Erklärung der Anwendbarkeit (engl. Statement of Applicability), die alle innerhalb des ISMS implementierten Maßnahmen auflistet.
3. Anpassung und Erweiterung der internen Richtlinien und Verfahren, um die Anforderungen zur Umsetzung bestimmter Sicherheitsmaßnahmen zu beschreiben.
4. Umsetzung der Maßnahmen, indem z. B. eine Softwarelösung zur Data Leakage Prevention eingeführt wird.

Warum NTT DATA als ISO 27001 Auditor?

Die Implementierung und Aufrechterhaltung eines Informationssicherheits-Managementsystems (ISMS) gemäß ISO 27001 ist durchaus als komplex anzusehen. Unterschiedliche und vor allem individuelle Faktoren müssen berücksichtigt werden:

Die ISO 27001 deckt viele Bereiche der Informationssicherheit ab, einschließlich Risikomanagement, Schulung der Mitarbeitenden, physische Sicherheit und IT-Infrastruktur. Das bedeutet, dass Unternehmen Prozesse und Richtlinien in einer Vielzahl von Bereichen überprüfen und anpassen müssen.

Jede Organisation ist einzigartig, und die ISO 27001 erfordert, dass das ISMS auf die spezifischen Risiken und Bedürfnisse der jeweiligen Organisation zugeschnitten ist. Dies erfordert eine sorgfältige Analyse und maßgeschneiderte Lösungen.

Die Aufrechterhaltung der Konformität nach ISO 27001 ist kein einmaliges Ereignis. Es erfordert kontinuierliche Überwachung, Überprüfung und Aktualisierung des ISMS, um sicherzustellen, dass es weiterhin effektiv ist und mit den sich ändernden Risiken und Technologien Schritt hält.

Die Entwicklung und Implementierung eines effektiven ISMS kann erhebliche Ressourcen erfordern, einschließlich der Zeit und Expertise von Mitarbeitenden.

Der Prozess der Erlangung der Zertifizierung kann komplex sein, da er eine umfassende externe Prüfung durch einen akkreditierten Auditor beinhaltet. Dies erfordert eine sorgfältige Vorbereitung und Dokumentation.

Vertrauen Sie unseren Spezialisten. Wir erkennen nicht nur Probleme, wir stehen Ihnen auch bei der Lösung erfolgreich zur Seite.

NTT DATA als Partner ihres Vertrauens

Um die gesamten Anforderungen der ISO 27001 bestmöglich zu erfüllen und den Umstieg auf den neuen Standard erfolgreich zu bewältigen, wird Ihnen NTT DATA während des gesamten Prozesses als Partner mit unserer Expertise zur Seite stehen.

Auf Basis international anerkannter Standards und Best Practices bietet unser Cyber Security Consulting ganzheitliche Beratungsleistungen und langjährige Erfahrung in der Implementierung, Weiterentwicklung und operativen Umsetzung von Sicherheitslösungen.

In unserem End-to-End-Serviceportfolio bieten wir Beratung, Technologieintegration, Betrieb und Incident Response für einen ganzheitlichen, individuellen Schutz ihres Unternehmens. Wir bieten Ihnen die Möglichkeit, durch die Einbeziehung verschiedener Kompetenzzentren maßgeschneiderte Lösungen, die genau auf Ihre Anforderungen abgestimmt sind, zu konzipieren. Diese Lösungen wurden bereits branchenweit erfolgreich in unterschiedlich komplexen Projekten umgesetzt.

Möchten Sie Ihr Unternehmen nach der neuen Norm zertifizieren lassen und Ihre Informationssicherheit weiterentwickeln? Dann kontaktieren Sie uns gerne, um die ersten Schritte für Ihren erfolgreichen Umstieg auf die neue ISO 27001 zu besprechen!