Grundlegendes zu ISO/IEC 27001

Ein Blick in die Historie

Die internationale Norm ISO/IEC 27001 stellt die Grundlage für Informationssicherheits-managementsystem (ISMS) dar. Die Norm definiert die Anforderungen an ein solches Managementsystem. Im Anhang A der Norm (englisch Annex A), sind die spezifischen Maßnahmenziele bzw. Kontrollen im Bereich der Informationssicherheit aufgeführt. Die Norm ISO/IEC 27002 ist eine dazu korrespondierende Orientierungshilfe, welche Hinweise gibt, wie diese Maßnahmenziele erreicht bzw. Kontrollen umgesetzt werden können.

Anfrage zu ISO/IECC 27001

Weitere Infos oder Fragen zu diesem Thema?

Anfrage zu ISO/IECC 27001

Gerne unterstützen wir Sie mit unserer langjährigen Erfahrung in der Umsetzung von regulatorischen Anforderungen in Ihrem Unternehmen. 

Vorname
Nachname
Firma
Position
E-Mail
Nachricht
Datenschutz

Vielen Dank für Ihre Anfrage.
Beim Absenden des Formulars ist ein Fehler aufgetreten. Bitte überprüfen Sie noch einmal alle Formularfelder.
In den vergangenen Jahren wurde die ISO/IEC 27002 umfassend überarbeitet.

Für was steht die ISO 27001:2022

Die augenscheinlichste Änderung betrifft die Struktur der Maßnahmenziele (Controls). Diese wurden in neuen Gruppen organisiert, den sogenannten „Clauses“, und mit einer simplen Taxonomie inklusive zugehöriger Attribute versehen. Dazu wurden die Inhalte selbst stark modernisiert.

Keine einzige Maßnahme wurde unverändert aus der bisherigen Norm übernommen. Es gibt 11 „neue“ Controls:

5.7 Threat intelligence

(Erkenntnisse über Bedrohungen)

Systematische Datensammlung und kontinuierliches Monitoring der Bedrohungslage

5.23 Information security for use of cloud services

(Informationssicherheit für die Nutzung von Cloud-Diensten)

IS-Anforderungsbasierte Nutzung und Verwaltung von Cloud-Diensten

5.30 ICT readiness for business Continuity

(IKT-Bereitschaft für Business Continuity)

Implementierung der IKT*-Bereitschaft auf Basis von BC-Zielen und IKT-Kontinuitätsanforderungen

7.4 Physical security monitoring

(Physiche Sicherheitsüberwachung)

Permanente Perimeterüberwachung des Betriebsgeländes und von Räumlichkeiten, in denen sich kritische Systeme befinden

8.9 Configgurationmanagement

(Konfigurationsmanagement)

Kontrollierte Einführung, Dokumentation und Überwachung von Konfigurationen

8.10 Information deletion

(Löschung von Informationen)

Vernichtung nicht benötigter gespeicherter Informationen in Informationssystemen und -geräten

8.11 Data masking

(Datenmaskierung)

Einsatz von Datenmaskierung** in Übereinstimmung mit internen Richtlinien zur Zugriffskontrolle

8.12 Data leakage prevention

(Verhinderung von Datenlecks)

Maßnahmen zur Verhinderung von Datenlecks auf Systemen, Netzwerken und Endgeräten

8.16 Monitoring activities

(Überwachung von Aktivitäten)

Überwachung der Netze, Systeme und Anwendungen auf anomales Verhalten

8.23 Web filtering

(Webfilterung)

Verwaltung des Zugangs zu externen Webseiten

8.28 Secure coding

(Sichere Kodierung)

Anwendung von sicheren Entwicklungsprinzipien in der Softwareentwicklung

*IKT: Informations- und Kommunikationstechnologien
**Bei der Datenmaskierung, die auch als statische Datenmaskierung bezeichnet wird, werden sensible Daten dauerhaft durch fiktive, aber realistisch aussehende Daten ersetzt.

Was soll mit der Neufassung der ISO 27001:2022 erreicht werden?

Sinn und Zweck der Aktualisierung bzw. der Neuordnung des ISO/IEC 27001 Standards war es, den Standard aktuell zu halten und zu vereinfachen.

Durch die Aktualisierung wurden bisher nicht oder nur ungenügend berücksichtigte Themen integriert und an den aktuellen Stand der Technik angepasst. Dazu zählen u. a. technische Anforderungen wie die Absicherung im Umgang mit Cloud-Systemen oder die Überwachung von Aktivitäten in der IT-Infrastruktur. Dies ist ebenfalls durch das IT-Sicherheitsgesetz 2.0 gefordert, so sollen Systeme zur Angriffserkennung etabliert und betrieben werden. Des Weiteren wurden auch die Empfehlungen zur Umsetzung (Guidance) zu bestehenden Controls aktualisiert.

Der BSI Cloud Computing Compliance Criteria Catalogue (kurz: BSI C5) ist ein Kriterienkatalog und beschreibt Mindestanforderungen an die Informationssicherheit für Cloud-Dienste, die nicht unterschritten werden sollten. Ziel ist die transparente Darstellung der Informationssicherheit eines Cloud-Dienstes auf Basis einer standardisierten Prüfung. Cloud-Anbieter können die C5-Kriterien umsetzen, um die IT-Sicherheit ihrer Cloud-Dienste zu erhöhen und sich damit einen attraktiven Wettbewerbsvorteil zu verschaffen.

Ulla Sievers

Senior Managerin

Sie haben noch Fragen zum Thema „ISO/IEC 27001“?

Gerne unterstützen wir Sie mit unserer langjährigen Erfahrung in der Umsetzung von regulatorischen Anforderungen in Ihrem Unternehmen.

Telefon: +49 6103 37696 0 oder Email:

Anfrage zu ISO/IECC 27001

Gerne unterstützen wir Sie mit unserer langjährigen Erfahrung in der Umsetzung von regulatorischen Anforderungen in Ihrem Unternehmen. 

Vorname
Nachname
Firma
Position
E-Mail
Nachricht
Datenschutz

Vielen Dank für Ihre Anfrage.
Beim Absenden des Formulars ist ein Fehler aufgetreten. Bitte überprüfen Sie noch einmal alle Formularfelder.

Wer sollte sich in den Unternehmen damit beschäftigen?

Zu den Unternehmensbereichen, auf die die regulatorischen Anforderungen in einem Unternehmen Auswirkungen haben, zählen unter anderem:

Geschäftsführung und Vorstände
Risikomanagement
Meldewesen
IT-Management (Projektmanagement, Betriebsabläufe, Notfallmanagement, …)
CISO / ISB – Management
Compliance-Management
Geschäftsfortführungsmanagement (BCM)
Datenschutz

Wir unterstützen Sie

bei der Implementierung robuster Sicherheitsmaßnahmen.

Wir geben Hilfestellung

bei der Implementierung der Anforderungen aus der ISO 27001:2022.

Wir planen und realisieren

Workshops für Ihre Mitarbeiter bezüglich der Anforderungen aus der ISO 27001:2022.