Liebe Kundinnen, liebe Kunden,

wir verabschieden uns in die Feiertage und sind ab dem 2. Januar 2025 wieder persönlich für Sie da.

Bitte beachten Sie, dass neue Registrierungen und manuell zu bearbeitende Anliegen erst ab diesem Zeitpunkt bearbeitet werden. 

Bestellungen und Downloads können Sie selbstverständlich jederzeit online durchführen, und unsere FAQ bieten Ihnen viele hilfreiche Informationen.

Wir wünschen Ihnen schöne Feiertage, eine besinnliche Zeit und ein gesundes Neues Jahr! 

Ihre DIN Media GmbH

Wir sind telefonisch für Sie erreichbar!

Montag bis Freitag von 08:00 bis 15:00 Uhr

DIN Media Kundenservice
Telefon +49 30 58885700-70

Informationssicherheit: Unternehmensdaten schützen und verfügbar halten

Informationssicherheit: Die wichtigsten Fragen und Antworten
Sensible Informationen müssen geschützt werden – und gleichzeitig für Berechtigte einfach verfügbar sein. Mit einem Informationssicherheits-Managementsystem (ISMS) funktioniert beides.
ISO 27001: Ein ISMS, das sich anpassen lässt
Die Referenzmaßnahmen der DIN EN ISO/IEC 27001 beschreiben Best Practices, die sich übernehmen, aber auch individualisieren lassen.
ISO 27001 und 27002: Was ist neu?
Die Anforderungen an Informationssicherheit (insbesondere Cybersecurity) entwickeln sich ständig weiter. Das spiegelt sich auch in den ISO/IEC-Normen wider. Wir geben einen Überblick, was sich geändert hat. Mit Checkliste zum Herunterladen!
Kostenlos: DIN SPEC 27076 für bessere IT-Sicherheit
Jetzt einsteigen und gegen Cyber-Attacken schützen: Die kostenlose DIN SPEC 27076 ist eine Anleitung für den CyberRisikoCheck, der sich vor allem an kleine und mittlere Unternehmen (KMU) richtet.
In 3 Minuten erklärt: Managementnormen im Abo
Unser Online-Dienst gibt Ihnen Zugang zu mehr als 140 Managementnormen, einfach auf dem PC oder unterwegs auf dem Tablet. Praktische Funktionen erleichtern Ihnen die Arbeit, und mit dem günstigen Jahresabo sparen Sie Geld.

Die wichtigsten Fragen und Antworten 

In Unternehmen und anderen Organisationen müssen Informationen ständig verfügbar sein. Gleichzeitig sollen sie vor dem Zugriff unberechtigter Personen gesichert werden. Das gelingt mit der Umsetzung eines Informationssicherheits-Managementsystems (ISMS). Die internationale Norm ISO/IEC 27001 (als deutsche Norm DIN EN ISO 27001) beschreibt die Anforderungen für ein ISMS. Es lohnt sich schon für kleinere Betriebe und Organisationen.

Wir sprachen mit Dr. Wolfgang J. Böhmer, Mitautor des Standardwerks „Managementsysteme für Informationssicherheit (ISMS) mit DIN EN ISO/IEC 27001 betreiben“, das demnächst bei DIN Media in einer Neuauflage erscheint. Böhmer studierte Naturwissenschaften mit Schwerpunkten in angewandter Physik, Mathematik und Geowissenschaften an der Universität Hamburg. Er promovierte am Max-Planck-Institut in Hamburg. Seit 1990 ist er im Bereich IT-Consulting (Software Engineering und Datenbanken) tätig, mit einem Schwerpunkt auf Informationssicherheit.

  • Unternehmen und andere Organisationen haben heute mit einer Vielzahl von Informationen und Daten zu tun. Die meisten davon liegen in digitaler Form vor, und viele sind von zentraler und wirtschaftlicher Bedeutung. Dr. Wolfgang J. Böhmer unterstreicht: „Wir befinden uns mitten in der digitalen Transformation. Und der Anspruch von Wirtschaft und Gesellschaft ist, dass möglichst alles online erledigt werden kann. Der digitale Datenverkehr bewegt sich aber in der Regel über ‚öffentliche Wege‘, denn das Internet ist von außen zugänglich. Informationen und Daten können deshalb leicht manipuliert werden.“ Wird der Fluss von Daten gestört oder der Zugang unterbrochen, kann großer wirtschaftlicher Schaden entstehen – und auch solcher an der Reputation eines Unternehmens. Informationssicherheit umfasst alles, was die Informationswerte eines Unternehmens vor Bedrohungen und möglichen Schäden schützt. Potenzielle Gefahren können sein: Cyberangriffe, Sabotage, Spionage oder auch Elementarschäden wie Brand, Umweltschäden oder Überschwemmungen.

  • Ein funktionierendes Informationssicherheits-Managementsystem (ISMS) unterstützt Unternehmen dabei, Risiken für die Informationssicherheit zu erkennen und auf ein tragbares Maß zu reduzieren, um Schäden zu minimieren. Die relevanten Kriterien für Aufbau, Einführung und Betrieb eines ISMS definiert der weltweit anerkannte Standard ISO/IEC 27001. Er unterstützt die Verantwortlichen in Unternehmen und Organisationen dabei, relevante Risiken der Informationssicherheit zu identifizieren und zu steuern. Ein ISMS gewährleistet, dass eigene Informationswerte – wie geistiges Eigentum, Personal- oder Finanzdaten sowie von Kund*innen oder Dritten anvertraute Daten – wirksam vor Manipulation geschützt werden. Das ISMS wirkt präventiv und systematisch. Es erkennt Schwachstellen und schließt sie. „Ein ISMS funktioniert im Kern als ‚Regelkreis‘, in dem ein vordefinierter Sicherheitszustand durch regelmäßige Überprüfung und Wartung erhalten und fortgeschrieben wird“, erläutert Sicherheitsberater Böhmer. „Ziel ist, auf diese Weise alle Formen von Informationsabfluss abzusichern. Informationen, die kursieren und Einfluss auf meine Wertschöpfung haben, muss ich pflegen, messen und korrigieren. Denn wenn ich nicht regelmäßig eingreife, sackt das Sicherheitsniveau automatisch ab.“

  • Der Fokus liegt auf digitalen Daten und Informationen. Denn Informationen werden heutzutage schließlich überwiegend digital gespeichert. Es gibt aber auch noch viele Informationen, die analog in Akten, Archiven oder als handschriftliche Notizen oder Vermerke abgelegt sind. Informationen können zudem „immateriell“ gespeichert werden – etwa als Fachwissen von Mitarbeitern. Ein ISMS umfasst alle diese Formen der Datensammlung. Daher geht Informationssicherheit über IT-Sicherheit deutlich hinaus. „Besonders relevant sind allerdings digitale Informationen, die mit wichtigen Schaltstellen entlang der Wertschöpfungskette eines Unternehmens zusammenhängen“, stellt Böhmer fest.

  • Informationssicherheit hat drei zentrale Schutzziele: Vertraulichkeit, Integrität und Verfügbarkeit von Informationen. Vertrauliche Informationen dürfen nur von berechtigten Personen eingesehen werden, deren Zugang muss abgesichert sein. Integrität heißt: Informationen müssen vor Manipulation geschützt werden, damit sie unverändert, richtig und vollständig bleiben. Die Verfügbarkeit beschreibt, dass Informationsressourcen für berechtigte Nutzer*innen ohne große Probleme zugänglich sind. Sicherheitsberater Böhmer fasst zusammen: „Diese Schutzziele sind zum Beispiel wichtig, wenn ich Daten der Buchhaltung oder auch ein Angebot per Mail verschicke: Kommt die Mail beim richtigen Adressaten an? Kann der Inhalt auf dem Weg verändert werden? Bekommt ihn jemand zu sehen, für den die Informationen gar nicht bestimmt sind? Und: Erreichen die Daten auch zum gewünschten Zeitpunkt ihr Ziel?“

  • Größere Unternehmen und solche der „kritischen Infrastrukturen“ müssen sich auf Basis der DIN EN ISO/IEC 27001 zertifizieren lassen. Aber es lohnt sich auch für kleinere Unternehmen aller Branchen: „Je IT-lastiger ein Unternehmen ist, umso mehr macht sich ein ISMS bezahlt. Ob der Einsatz eines ISMS Sinn macht, ist also nicht unbedingt an eine bestimmte Mitarbeitendenzahl oder einen bestimmten Umsatz gebunden. Die vielen Fälle öffentlich bekannt gewordener Ransomware-Attacken (bei denen Unternehmensdaten verschlüsselt und nur gegen „Lösegeldzahlung“ wieder entschlüsselt werden), zeigten außerdem: „Es ist heute nicht die Frage, ob ich als Unternehmen von Wirtschaftskriminellen angegriffen werde, sondern wann der Angriff stattfindet – und wie gut ich darauf vorbereitet bin“, so Böhmer. „Die gute Nachricht ist, dass es eine große Zahl von Tools und Technologien gibt, um ein Unternehmen sicher zu machen. Viele sind sogar kostenlos.“

  • Der Impuls, ein ISMS einzuführen, muss von der Unternehmensleitung kommen und vorgelebt werden. Dann gilt es, Rollen und Verantwortlichkeiten innerhalb des ISMS zu klären, zum Beispiel durch die Benennung von Sicherheitsbeauftragen. Schließlich muss das Unternehmen seine Sicherheitsrichtlinien definieren. Entlang der Wertschöpfungskette gilt es, alle sicherheitsrelevanten Stellen zu identifizieren. Es müssen auch die Sicherheitsbedürfnisse und -einflüsse aller Beteiligten betrachtet werden: Mitarbeitende, Kund*innen, Lieferant*innen, Geschäftspartner*innen, andere betroffene Dritte. Böhmer nennt einige Fragen, die in diesem Prozess wichtig sind: „Dafür muss sich ein Unternehmen sehr genau selbst betrachten: Womit erziele ich meine Gewinne, wo fließen dazu welche Daten? Was passiert, wenn der Fluss unterbrochen wird? Gibt es Rückfall-Optionen, wie kann ich Ausfälle auffangen? Wenn ich diese kritischen Punkte erkannt habe, suche ich nach den Mitteln, meine konkreten Schutzziele umzusetzen.“

ISO 27001: Ein ISMS, das sich anpassen lässt

In Unternehmen und anderen Organisationen sollen Informationen ständig verfügbar sein. Gleichzeitig ist es wichtig, sie vor dem Zugriff unberechtigter Personen zu sichern. Am besten gelingt das mit einem Informationssicherheits-Managementsystem (ISMS). Die internationale Norm ISO/IEC 27001 beschreibt die Anforderungen.

Die Umsetzung der ISO/IEC 27001 befähigt Organisationen unabhängig von Typ, Art und Größe, die mit der Informationsverarbeitung verbundenen Sicherheitsrisiken angemessen zu steuern. Dabei gelten die Anforderungen unabhängig von der Art der Information, ihrer Verarbeitung sowie den dafür eingesetzten Technologien. Die deutschsprachige Fassung erschien unter dem Titel „Informationstechnik - Sicherheitsverfahren - Informationssicherheitsmanagementsysteme - Anforderungen“ (DIN EN ISO/IEC 27001:2017-06).

Die Stärke der Norm liegt in der Wahlfreiheit, wie die Anforderungen erfüllt werden. Es ist ihr ausdrückliches Ziel, dass die praktische Umsetzung in Abhängigkeit der Bedürfnisse der Organisation vollzogen wird. Ein ISMS soll bestmöglich in die bestehenden Prozesse und Strukturen integriert werden. 

Bei der Erarbeitung der Norm wurden internationale Best-Practice-Ansätze sowie vorhandene Normen zusammengeführt und weiterentwickelt. Herausgekommen sind anerkannte Anforderungen an ein ISMS, deren Einhaltung eine Organisation durch eigene Ressourcen (Interne Revision) oder eine akkreditierte Zertifizierungsstelle überprüfen lassen kann.

Ein Informationssicherheits-Managementsystem (ISMS) schützt Unternehmensdaten.

Unternehmen und andere Organisationen unterscheiden sich unter anderem in Zielen, Prozessen, Aufbau und Technologien voneinander. Deshalb fokussiert die ISO/IEC 27001 auf die strukturellen und prozessualen Anforderungen, die für Aufbau, Betrieb und Weiterentwicklung eines ISMS unerlässlich sind. Die Norm greift Begriffe und Definitionen der ISO/IEC 27000 auf und legt Anforderungen zu folgenden Themenfeldern fest:

  • Kontext der Organisation
  • Führung
  • Planung
  • Unterstützung
  • Betrieb
  • Bewertung der Leistung
  • Verbesserung

Einheitlicher Aufbau erleichtert die Orientierung

Der strukturell im Vergleich zu anderen ISO-Managementsystemnormen vereinheitlichte Aufbau der Norm ermöglicht es auch Personen, die andere Managementdisziplinen anwenden, ihre Erfahrungen mit ISO-Managementsystemnormen zu nutzen, sich schnell in der Norm zurechtzufinden und Managementsysteme zu integrieren. Dieser einheitliche Aufbau ist erweitert um die Abschnitte

  • Informationssicherheitsrisikobeurteilung (6.1.2)
  • Informationssicherheitsrisikobehandlung (6.1.3)
  • Informationssicherheitsrisikobeurteilung (8.2)
  • Informationssicherheitsrisikobehandlung (8.3)

Diese Abschnitte beinhalten Anforderungen zu Planung (Abschnitte 6.1.x) und Betrieb (Abschnitte 8.x) des Prozesses oder der Prozesse zur Identifikation, Analyse, Beurteilung und Behandlung von Risiken der Informationssicherheit. Weiterhin werden Anforderungen hinsichtlich der Festlegung von Risikoakzeptanzkriterien und der Reproduzierbarkeit von Ergebnissen der Informationssicherheitsrisikobeurteilung definiert.

Informationssicherheit umfasst – anders als häufig angenommen – auch analoge Datenträger.

Anders als häufig angenommen, umfasst Informationssicherheit auch analoge Daten, also z. B. Informationen, die in Akten, Archiven oder (Fach‑) Bibliotheken, auf handschriftlichen Notizen oder Vermerken, Schallplatten oder Videobändern gesammelt sind.

Best Practices ersetzen nicht die eigene Risikobeurteilung

Eine Besonderheit der ISO/IEC 27001 sind die im normativen (und insofern verbindlichen) Anhang A der Norm aufgeführten Referenzmaßnahmenziele und -maßnahmen. Die ISO/IEC 27001 ist daher mehr als nur eine Norm für ein Managementsystem: Über den Anhang A ist sie inhaltlich eng an die ISO/IEC 27002 gekoppelt, in der die Referenzmaßnahmenziele und -maßnahmen als Best-Practice Norm detaillierter aufgeführt sind. Diese sind grundsätzlich geeignet, um typische Informationssicherheitsrisiken zu behandeln, können und müssen jedoch individuell ergänzt bzw. reduziert werden.

Die Normativität bzw. Verbindlichkeit des Anhangs A der ISO/IEC 27001 bedeutet explizit nicht, dass auch die Referenzmaßnahmen und ihre Ziele normativ und damit verbindlich umzusetzen sind. So kann es beispielsweise rechtfertigende Gründe geben, einzelne Referenzmaßnahmen und ihre Ziele nicht zu verfolgen und umzusetzen.

Normativ und verbindlich ist der Anhang A dennoch: Denn die ISO/IEC 27001 legt in Kapitel 6.1.3 fest, dass die Ergebnisse in den Prozessen zur Beurteilung und Behandlung von Informationssicherheitsrisiken erarbeiteten Ergebnisse mit den im Anhang A aufgeführten Maßnahmen und Zielen zu vergleichen sind. Die Ergebnisse dieses Vergleichs müssen in Form einer Erklärung zur Anwendbarkeit dokumentiert werden – inklusive der jeweiligen Begründung zu ihrer Berücksichtigung oder Nicht-Berücksichtigung.

Keineswegs können im Umkehrschluss einfach die Referenzmaßnahmen und -ziele des Anhang A umgesetzt oder dazu genutzt werden, die Ergebnisse eigener Risikobeurteilungen und -behandlungsentscheidungen vorwegzunehmen oder gar auf sie zu verzichten.

Die Umsetzung der ISO/IEC 27001 unterstützt die Verantwortlichen, relevante Risiken der Informationssicherheit zu identifizieren und zu steuern, indem entsprechende Handlungsbedarfe erkannt und risikoorientiert umgesetzt werden.


Prof. Dr. Knut Haufe ist Professor für Wirtschaftsinformatik mit dem Schwerpunkt Cyber Security Governance an der SRH Berlin University of Applied Sciences. Er führt Projekte zur Planung und Etablierung von Informationssicherheits-Managementsystemen (ISMS) gemäß ISO/IEC 27001 und auf der Basis von BSI-IT-Grundschutz durch. Er berät führende Organisationen der öffentlichen Verwaltung des Bundes und der Länder sowie im Bereich kritischer Infrastrukturen.

Als Mitglied in den Normenausschüssen Informationstechnik und Anwendungen (NIA) 043-01-27-01 Arbeitskreis Anforderungen, Dienste und Richtlinien für IT Sicherheitssysteme sowie NA 175-00-05 GA Sicherheit und Business Continuity ist er auch Editor der Norm ISO/IEC TS 27022 „Guidance on ISMS processes“.


Normen

Norm [AKTUELL] 2024-01

DIN EN ISO/IEC 27001:2024-01
Informationssicherheit, Cybersicherheit und Datenschutz - Informationssicherheitsmanagementsysteme - Anforderungen (ISO/IEC 27001:2022); Deutsche Fassung EN ISO/IEC 27001:2023

ab 99,10 EUR inkl. MwSt.

ab 92,62 EUR exkl. MwSt.

Norm [AKTUELL] 2024-01

DIN EN ISO/IEC 27002:2024-01
Informationssicherheit, Cybersicherheit und Schutz der Privatsphäre - Informationssicherheitsmaßnahmen (ISO/IEC 27002:2022); Deutsche Fassung EN ISO/IEC 27002:2022

ab 345,10 EUR inkl. MwSt.

ab 322,52 EUR exkl. MwSt.

Norm [AKTUELL] 2020-06

DIN EN ISO 22301:2020-06
Sicherheit und Resilienz - Business Continuity Management System - Anforderungen (ISO 22301:2019); Deutsche Fassung EN ISO 22301:2019

ab 112,30 EUR inkl. MwSt.

ab 104,95 EUR exkl. MwSt.

Norm [AKTUELL] 2018-10

DIN EN ISO 19011:2018-10
Leitfaden zur Auditierung von Managementsystemen (ISO 19011:2018); Deutsche und Englische Fassung EN ISO 19011:2018

ab 197,50 EUR inkl. MwSt.

ab 184,58 EUR exkl. MwSt.

Norm [AKTUELL] 2018-07

ISO 19011:2018-07
Leitfaden zur Auditierung von Managementsystemen

ab 190,80 EUR inkl. MwSt.

ab 178,32 EUR exkl. MwSt.

Publikationen

Publikation DIN-Taschenbuch 408 2024-10

Informationssicherheitsmanagement

ab 166,00 EUR inkl. MwSt.

ab 155,14 EUR exkl. MwSt.

ab 68,00 EUR inkl. MwSt.

ab 63,55 EUR exkl. MwSt.

ab 219,00 EUR inkl. MwSt.

ab 204,67 EUR exkl. MwSt.

ab 21,20 EUR inkl. MwSt.

ab 19,81 EUR exkl. MwSt.

Publikation DIN Media Praxis 2023-11

Betrieblicher Datenschutz Schritt für Schritt
Lösungen zur praktischen Umsetzung - DSGVO, Textbeispiele, Musterformulare, Checklisten

ab 72,50 EUR inkl. MwSt.

ab 67,76 EUR exkl. MwSt.

Publikation DIN Media Kommentar 2021-05

Paket Geschäftsrelevante Informationen und Records Management
"Geschäftsrelevante Informationen - Eine Handlungsanleitung zur risikoorientierten Bewertung von Aufzeichnungen nach ISO/TR 21946 Appraisal for managing records" sowie "Records Management nach ISO 15489 - Einführung und Anleitung"

ab 72,00 EUR inkl. MwSt.

ab 67,29 EUR exkl. MwSt.

Weiterbildungen und Online-Dienst

1178,10 EUR inkl. MwSt.

990,00 EUR exkl. MwSt.

Details ansehen
Managementnormen online

Online-Dienst 2011-10

Managementnormen online
Normensammlung

ab 17,33 EUR/Monat inkl. MwSt.

ab 208,00 EUR/Jahr inkl. MwSt.

Zur Buchung

2368,10 EUR inkl. MwSt.

1990,00 EUR exkl. MwSt.

Details ansehen

ISO 27001 und ISO 27002: Was ist neu?

Um den globalen Herausforderungen im Bereich der Cybersicherheit zu begegnen und das digitale Vertrauen zu stärken, wurde im Oktober 2022 eine neue und verbesserte Version der ISO/IEC 27001 veröffentlicht. Die Überarbeitung berücksichtigt die Entwicklungen in der Informationssicherheit und die sich ändernden Bedürfnisse von Organisationen. Die ISO 27001 ist eine internationale Norm für ein Informationssicherheitsmanagementsystem (ISMS) und hilft Unternehmen jeder Größe, jeder Branche und in jedem Land, ein ISMS zum Schutz der Vertraulichkeit, Integrität und Verfügbarkeit von Daten und IT-Infrastruktur einzuführen und zu unterhalten.

Die Änderungen in den aktuellen Versionen der ISO 27001 und ISO 27002 haben wir in unserer kostenlosen Checkliste ausführlich dokumentiert.

Porträt Christian Lübker

Die Fragen beantwortete Christian Lübker, Experte für Informationssicherheit und Cybersecurity. Er leitet die COSICURA GmbH in Landsberg/Lech und ist als Referent für uns tätig.

  • Die ISO 27001 ist ein weltweiter Standard für Informationssicherheitsmanagementsysteme (ISMS) und legt Anforderungen an die Errichtung, Implementierung, Aufrechterhaltung und kontinuierliche Verbesserung eines ISMS fest. Ein ISMS hilft Unternehmen bei der Identifizierung, Bewertung und Verwaltung von Risiken, die im Zusammenhang mit Unternehmensinformationen und -vermögenswerten verbunden sind. Dabei verfolgt die ISO 27001 einen ganzheitlichen Ansatz: Sie deckt nicht nur IT ab, sondern berücksichtigt auch die Menschen, Technologien und Prozesse eines Unternehmens.

    Ein weiterer Vorteil verbindet sich mit einer Zertifizierung nach ISO 27001: Damit weist ein Unternehmen gegenüber der Kundschaft und gegenüber kooperierenden Unternehmen nach, dass Prozesse, Verfahren, Maßnahmen und Werkzeuge (Tools) eingesetzt werden, mit denen sich die Informationssicherheit steuern, kontrollieren und optimieren lässt. Eine Zertifizierung erhöht die Glaubwürdigkeit und Reputation und ist ein großer Differenzierungsfaktor gegenüber Wettbewerbern.

    Insgesamt bietet die ISO 27001 einen umfassenden Rahmen für die Implementierung und Aufrechterhaltung eines ISMS, der Unternehmen dabei hilft, die Informationssicherheit zu verbessern und Risiken zu minimieren.

    Darüber hinaus hilft die ISO 27001 Unternehmen dabei, die Anforderungen der EU-Richtlinie zur Netzwerk- und Informationssicherheit (NIS-2-Richtlinie) zu erfüllen, indem sie einen umfassenden Rahmen für die Implementierung und Aufrechterhaltung von Informationssicherheitsmaßnahmen zur Verfügung stellt.

  • Die ISO 27001 ist eine Hauptnorm, nach der Organisationen zertifiziert werden können. Das unterscheidet sie von der ISO 27002, die keine Hauptnorm ist, sondern ein Leitfaden, mit dem sich die normativen Vorgaben aus dem Anhang A der ISO 27001 umzusetzen lassen. Die ISO 27002 enthält detaillierte Informationen zur Implementierung von Informationssicherheitsmaßnahmen, die auf den Anforderungen der ISO 27001 basieren und bei der Einführung und Umsetzung eines ISMS helfen. Darüber hinaus listet sie Informationen auf, die in einigen Fällen berücksichtigt werden müssen, zum Beispiel rechtliche Erwägungen und Verweise auf andere Normen.

  • Die Änderungen in der aktuellen Version ISO 27001:2022 betreffen die Kapitel 4 bis 10. Sie sind überschaubar und können leicht angepasst werden, da sie das Managementsystem betreffen. Eine große Tragweite hat dabei die Überarbeitung der Maßnahmenziele und Maßnahmen und deren Struktur in Anhang A, die bereits Mitte Februar 2022 im Rahmen des überarbeiteten Standards ISO/IEC 27002:2022 veröffentlicht wurden. Die meisten Änderungen erfolgten im Anhang A der ISO 27001.

    Eine wichtige Änderung in der ISO 27001:2022 ist die stärkere Betonung der Risikobewertung und des Risikomanagements. Die Norm legt nun einen stärkeren Schwerpunkt auf die Identifizierung und Bewertung von Risiken sowie auf die Entwicklung von Risikobehandlungsstrategien.

    Die ISO 27002:2022 ist jetzt deutlich länger als die vorherige Version, und die Maßnahmen wurden neu geordnet und aktualisiert. Da die Norm bereits im Februar 2022 herausgegeben wurde und erst im Oktober die neue ISO 27001 folgte, wurde der normative Anhang A der ISO 27001 an die überarbeitete ISO 27002 angeglichen. Zusätzlich erhielten alle in der ISO 27002 aufgeführten Maßnahmen fünf Arten von Attributen. Diese Attribute können nun verwendet werden, um zu filtern, zu sortieren oder Maßnahmen in verschiedenen Ansichten für verschiedene Zielgruppen zu präsentieren.

    Insgesamt zielen die Änderungen in der ISO 27001:2022 und ISO 27002:2022 darauf ab, die Normen an die aktuellen Bedrohungen und Herausforderungen in der Informationssicherheit anzupassen und eine bessere Integration und Anwendbarkeit zu gewährleisten.

    Die Änderungen in den aktuellen Versionen der ISO 27001 und ISO 27002 haben wir in unserer kostenlosen Checkliste ausführlich dokumentiert.

  • Die Normen ISO 27001 und ISO 27002 wurden zuletzt im Jahr 2013, also vor fast einem Jahrzehnt, aktualisiert. Die neue Version ISO/IEC 27001:2022 wurde im Oktober 2022 veröffentlicht. Organisationen, die nach ISO/IEC 27001:2013 zertifiziert sind, haben nun eine dreijährige Übergangsfrist, um die notwendigen Änderungen an ihrem ISMS vorzunehmen:

    • Der Risikobehandlungsprozess muss an die neuen Maßnahmen ausgerichtet werden.
    • Die Anwendbarkeitserklärung (SOA - Statement of Applicability) muss an die neuen Maßnahmen im Anhang A der ISO 27001 angepasst bzw. um die neuen Maßnahmen ergänzt werden.
    • Richtlinien und Verfahrensdokumente müssen angepasst werden.

Kostenlose Checkliste: Die Änderungen im Detail

Übersichtlich aufgelistet: die Änderungen in den Kapiteln 4 bis 10 der ISO/IEC 27001, die Anpassungen im normativen Anhang A sowie die neuen Attribute aus der ISO/IEC 27002.
Einfach kostenlos herunterladen!

DIN Media Kundenservice
   DIN Media Kundenservice

Am DIN-Platz | Burggrafenstraße 6
10787 Berlin