E-Learning Channels
Showroom
Deutsch

Magenta Security Awareness Library

Cyber Gangster erfolgreich abwehren – mit der IT-Security E-Learning Library der Deutschen Telekom und von mybreev

Mehr dazu - - >

Borussia E-Learning Portal

Borussia Mönchengladbach nutzt die gesamte Security Island E-Learning Library für die digitale Schulung der Belegschaft. 

Mehr erfahren- - >

Unsere Kunden
ARAG
Allianz
ASFINAG
Axel Springer
Barmenia
Borussia Mönchengladbach
BSH
Bürkert Fluid Control Systems
Coca-Cola
Covestro
Daimler
Danone
Deutscher Fußballbund e. V.
DFL Deutsche Fußball Liga
Douglas
ESG Elektroniksysteme- und Logistik
Getty Images Deutschland
Hansgrohe
HELM
Henkel
Hörmann
INTERNATIONAL SOS
KfW Bankengruppe
KPMG
Logwin
MAN
N26
Rohde & Schwarz
Rolls-Royce
Schülke & Mayr
Serviceplan Group
Telekom
Teva
Wanzl
Zalando
Zurich Insurance Company

Neuauflage der ISO/IEC 27001 und ISO/IEC 27002: Wo besteht Handlungsbedarf?

Neuauflage der ISO/IEC 27001 und ISO/IEC 27002: Wo besteht Handlungsbedarf?

Mit der Neuauflage der ISO 27002 im Februar 2022 kam frischer Wind in die bereits etwas angestaubte Normfamilie der 2700-Reihe. Dabei war sie nur ein Vorbote, denn die Neufassung der ISO/IEC 27001, welche als international führende Norm für Informationssicherheits-Managementsysteme (ISMS) gilt, folgte nur wenige Monate später im Oktober 2022. Zwar ist eine Zertifizierung ausschließlich nach ISO/IEC 27001 möglich, allerdings bietet die ISO/IEC 27002 mithilfe detaillierter Beschreibungen Hilfestellungen für die Implementierung der im Annex A der ISO/IEC 27001 geforderten Maßnahmen. Mithilfe dieser Maßnahmen sollen die Ziele des ISMS erreicht werden. Damit ist sie als eine Ergänzung zur ISO 27001 zu verstehen und enthält umfassende Informationen, die bei der Implementierung eines funktionierenden ISMS unterstützen können – die Maßnahmenbeschreibung, welche über die Anforderungen der ISO 27001 hinausgehen, haben dabei allerdings lediglich Empfehlungscharakter. Doch welche konkreten Änderungen bringen die Neuauflagen dieser beiden Normen mit sich?

Neue Struktur, neue Controls

Eines vorweg: Die Änderungen, welche die Anforderungen an das ISMS betreffen, sind überschaubar. Eines fällt beim Blick auf die ISO/IEC 27002 jedoch sofort auf: Die Editoren haben ihr eine neue Grundstruktur verpasst. Auch wurden einige Definitionen überarbeitet und neue Begrifflichkeiten eingeführt. Zudem wurde die Bewertungsmethode geändert: So werden Maßnahmen künftig nach ihren Eigenschaften kategorisiert. Die gravierendste Änderung findet sich allerdings in den gelisteten Controls wieder: Denn hier wurde zusammengefasst, gestrichen und hinzugefügt. Stolze 11 Controls kamen neu dazu, während lediglich eine Control ersetzt wurde. Die früher vierzehn Hauptkategorien hat man in vier Kategorien eingeschmolzen. Diese Änderung schlägt sich – wie erwartbar war – auch im Annex A der ISO 27001:2022 nieder und wird damit zertifizierungsrelevant. Wer sein ISMS nach ISO 27001 aufgebaut hat, sollte sein ISMS nun also auf den Prüfstand stellen und mögliche Anpassungsbedarfe evaluieren. Das gilt insbesondere für das Risikomanagement sowie das Statement of Applicability (SoA). Auch müssen direkte Verweise in der internen Dokumentation auf die ISO-Normen aktualisiert werden.

Wie Mitarbeitende auf die Änderungen vorbereiten?

Die Neuauflagen der ISO/IEC 27001 und der ISO/IEC 27002 sind kein Grund für Verzweiflungstaten. Allerdings müssen bestehende Strukturen und Maßnahmen überprüft und den neuen Anforderungen angepasst werden. Besonders für bereits zertifizierte Unternehmen oder jene, die eine Zertifizierung nach ISO/IEC 27001 anstreben, besteht akuter Handlungsbedarf. So müssen sich letztere entsprechend an der neuen Struktur orientieren. Für zertifizierte Unternehmen gibt es eine Übergangsfrist von 36 Monaten ab dem Datum der Veröffentlichung der neugefassten Norm. Damit müssen bis Oktober 2025 alle bestehenden Zertifikate auf die neue ISO/IEC 27001:2022 umgestellt werden. Damit die Neuerungen verstanden und erforderliche Änderungen fachgerecht umgesetzt werden können, ist eine professionelle Schulung und Sensibilisierung jedoch unerlässlich. Wir unterstützen Sie dabei: Security-Island bietet innovative Schulungslösungen zum Thema Informationssicherheit. In unserem gleichnamigen E-Learning-Channel finden Sie Kurse für Mitarbeitende und Führungskräfte, die Sie dabei unterstützen, Ihr ISMS aktiv zu stärken und die wirkungsvolle Umsetzung einzelner Maßnahmen voranzutreiben.

Passende E-Learnings für Ihre Mitarbeitenden

Kritische und reflektierte Bewertung von Informationen
Digitale Kompetenzen

Kritische und reflektierte Bewertung von Informationen

Lernen Sie, worauf Sie bei der Recherche und Bewertung von Informationen zu achten haben.

1 Quiz

6 Minuten Lernzeit

Ähnliche Beiträge