10.10.2023 / Kategorie: CISO, Governance, Risk & Compliance
Im März und November 2022 wurden die neuen Versionen der ISO27001 inkl. Anhang A sowie der ISO27002 herausgebracht. Bereits die Namensänderung von «Information technology - Security techniques» zu «Information security, cybersecurity and privacy protection» deutet eine stärkere Ausrichtung auf Cybersecurity und Datenschutz an.
Die ISO27001:2022 hat nur minimale Anpassungen erfahren und behält ihren Kern, der sich in anderen ISO-Normen widerspiegelt, bei. Grosse Veränderungen findet man im Anhang A (und den ergänzenden Erläuterungen der ISO27002:2022), die jetzt einen Implementierungsleitfaden für 93 Controls enthält, verglichen mit 114 Controls in der vorherigen Version.
Wenn Sie vor der Aufgabe stehen, für ihr bestehendes ISMS ein Update durchzuführen, werden Sie sich wahrscheinlich erst mal Informationen im Internet anschauen. Es gibt unzählige Beitrag über das Thema und auch ChatGPT hält eine Anleitung bereit. Aber die spannende Frage ist nun, was für ein Update von Version 2013 auf die Version 2022 wirklich zu tun ist. Der Übergang mag zwar komplex erscheinen, doch mit einem systematischen Ansatz lässt er sich gut bewältigen. Hier sind die detaillierten Schritte, die Sie bei der Umstellung beachten sollten:
Sinnvoll ist auf jeden Fall eine eigene Datenschutzrichtlinie, die in der Schweiz mit dem Inkrafttreten des neuen Bundesgesetzes über den Datenschutz zum 01.09.2023 an Bedeutung gewinnt. Und wenn noch nicht vorhanden, sollten Sie eine Richtlinie zum Cloud Computing erstellen.
Die weiteren Schritte sind im PDCA-Zyklus (Plan-Do-Check-Act) verankert und sollten unabhängig von der Normversion regelmässig durchgeführt werden. Hier geht es darum, sicherzustellen, dass alle Änderungen korrekt implementiert wurden und dass das ISMS effektiv arbeitet.
Bei der Umstellung auf eine neue Norm, wie die ISO 27001:2022, können technische und organisatorische Herausforderungen auftreten. Ein häufiger Stolperstein ist das unzureichende Verständnis der geänderten Anforderungen, was zu Inkonsistenzen im Informationsicherheits-Managementsystem (ISMS) führt. Des Weiteren kann die fehlende Integration neuer Vorgaben in bestehende Geschäftsprozesse zu Sicherheitslücken oder Compliance-Problemen führen. Die Anpassung der Risikobewertung an die aktualisierten Anforderungen kann ebenfalls Schwierigkeiten bereiten, wenn nicht alle Risikoszenarien berücksichtigt werden. Zudem wird die Neuausrichtung des Schulungsprogramms für die Mitarbeitenden an die neuen Standards und Verfahren oft unterschätzt, was die Umsetzung der Norm in der Praxis beeinträchtigt. Das Erkennen und fachgerechte Adressieren dieser technischen und organisatorischen Herausforderungen sind entscheidend für einen erfolgreichen Übergang zur neuen Norm.
Die ISO 27001:2022 ist zweifellos eine zentrale Norm im Bereich der Informationssicherheit. Doch sie existiert nicht im Vakuum. In vielen Branchen und Regionen gibt es eine Vielzahl von Sicherheits- und Datenschutzstandards, die von Organisationen berücksichtigt werden müssen. Es ist daher entscheidend, das Zusammenspiel der ISO 27001:2022 mit diesen anderen Standards zu verstehen.
Ein sorgfältiger Abgleich zwischen der ISO 27001:2022 und anderen in Ihrem Sektor geltenden Standards kann Aufschluss darüber geben, wo Überschneidungen bestehen. Dieses Verständnis kann helfen, doppelte Arbeit zu vermeiden. Beispielsweise könnten bestimmte Audit-Aktivitäten, die sowohl von der ISO 27001 als auch von einem anderen Standard gefordert werden, gleichzeitig erfüllt werden.
Zudem können Organisationen Synergien nutzen, indem sie gemeinsame Grundprinzipien oder Anforderungen identifizieren und diese in ihre Sicherheits- und Datenschutzpraktiken integrieren. Dies kann nicht nur Ressourcen sparen, sondern auch einen konsistenten und harmonisierten Ansatz für die Informationssicherheit gewährleisten. Es geht also nicht nur darum, Redundanzen zu vermeiden, sondern auch darum, die Stärken jedes Standards zu nutzen, um ein umfassendes und robustes Sicherheitssystem zu schaffen.
Schliesslich kann eine solche Integration auch dazu beitragen, das Vertrauen von Stakeholdern und Kunden zu stärken. Wenn diese sehen, dass eine Organisation nicht nur die Anforderungen eines Standards erfüllt, sondern eine harmonisierte und umfassende Herangehensweise an die Informationssicherheit verfolgt, kann dies das Vertrauen in die Sicherheitspraktiken dieser Organisation weiter erhöhen.
Das Update ihres bestehenden ISMS auf ISO27001:2022 ist ein Muss, wenn Sie weiterhin eine Zertifizierung anstreben. Denn jedes Audit, egal ob Erst- oder Rezertifizierung nach dem 01.05.2024, muss nach ISO/IEC 27001:2022 durchgeführt werden. Wenn Sie eine Zertifizierung nach ISO 27001 anstreben oder ein Update von Version 2013 auf 2022 planen, sollten Sie sich an einen erfahrenen Berater wenden. Ein Berater kann Ihnen bei der Entwicklung und Umsetzung eines ISMS und bei der Vorbereitung auf die Zertifizierungsprüfung helfen.
Sie benötigen Unterstützung bei Ihrer ISO 27001:2022 Umstellung? Vertrauen Sie auf die Expertise von ISPIN und setzen Sie auf unsere langjährige Erfahrung. Kontaktieren Sie uns jetzt und lassen Sie uns gemeinsam sicher in die Zukunft blicken!
Haben Sie Fragen zu unseren News, Events oder Blogartikeln? Nehmen Sie mit mir Kontakt auf.
Reiner Höfinger
Marketing & Communications