Die 11 neuen Maßnahmen aus der ISO 27001
19. Juni 2024
#BusinessContinuity #Cloudsecurity #Cybersecurity #Dataprotection #Informationssicherheit #ISO27001 #ISO27002 #Securedevelopment #Sicherheitsmaßnahmen

ISO 27001:2022 – 11 neue Maßnahmen

Wichtige Änderungen in der neuen ISO 27001-Version

Die ISO 27001, einer der weltweit wichtigsten Standards für das Management der Informationssicherheit, wurde in ihrer neuesten Version erheblich aktualisiert. Diese Änderungen zielen darauf ab, Unternehmen dabei zu unterstützen, sich besser gegen die ständig wachsenden Bedrohungen im Bereich der Cybersicherheit zu schützen. Besonders betroffen sind die Sicherheitsmaßnahmen im Anhang A, die detailliert in der ISO 27002 beschrieben werden. In der neuen Version wurden 11 neue Maßnahmen eingeführt, und bestehende Maßnahmen wurden zusammengefasst. Dadurch hat sich die Gesamtzahl der Sicherheitsmaßnahmen von 114 auf 93 reduziert. Diese Maßnahmen sind nun in vier Kategorien unterteilt: organisatorisch, personenbezogen, physisch und technisch.

Überblick über die neuen Maßnahmen

Die elf neuen Maßnahmen in der überarbeiteten ISO 27001 zielen darauf ab, die Informationssicherheit auf aktuelle Bedrohungen und technische Entwicklungen auszurichten. Hier sind die neu eingeführten Maßnahmen im Detail:

1. Threat Intelligence (Bedrohungsinformationen)

Unternehmen sind zunehmend gefordert, Bedrohungen frühzeitig zu erkennen und entsprechend zu handeln. Mit der neuen Maßnahme zur Threat Intelligence sollen Unternehmen Bedrohungen gezielt analysieren und verstehen. So können sie proaktive Maßnahmen ergreifen, bevor es zu einem Vorfall kommt. Die Sammlung, Analyse und Nutzung von Bedrohungsdaten wird dabei ein zentraler Bestandteil der Sicherheitsstrategie.

2. Cloud-Sicherheit

Der Einsatz von Cloud-Diensten nimmt stetig zu. Die neue ISO 27001-Version stellt spezifische Anforderungen an die Sicherheit in der Cloud. Unternehmen müssen sicherstellen, dass ihre Daten in Cloud-Umgebungen ausreichend geschützt sind, und entsprechende Sicherheitsanforderungen an Cloud-Dienstleister definieren.

3. IKT-Bereitschaft

Informations- und Kommunikationstechnologie (IKT) ist heutzutage eine zentrale Komponente vieler Geschäftsprozesse. Die Integration der IKT-Bereitschaft in das Business Continuity Management sorgt dafür, dass Unternehmen auch im Falle eines Vorfalls ihre Geschäftstätigkeit aufrechterhalten können. Diese Maßnahme fordert, dass Unternehmen ihre IKT-Systeme so gestalten, dass sie im Notfall schnell wiederhergestellt werden können.

4. Physische Überwachung

Die physische Sicherheit von Gebäuden und IT-Infrastrukturen bleibt ein wichtiger Aspekt der Informationssicherheit. Mit der neuen Maßnahme zur physischen Überwachung wird die Überwachung von unbefugtem Zutritt weiter verstärkt. Unternehmen müssen ihre Überwachungssysteme kontinuierlich verbessern, um Eindringlinge frühzeitig zu erkennen und angemessen reagieren zu können.

5. Konfigurationsmanagement

Diese neue Maßnahme verlangt eine genaue Dokumentation und regelmäßige Überprüfung der IT-Konfigurationen. Das Ziel ist es, sicherzustellen, dass alle Systeme ordnungsgemäß konfiguriert sind und keine Schwachstellen durch unsichere Einstellungen entstehen. Eine systematische und nachvollziehbare Konfigurationsdokumentation minimiert das Risiko von Fehlern und Angriffen.

6. Informationslöschung

Daten, die nicht mehr benötigt werden, müssen sicher gelöscht werden. Diese Maßnahme zielt darauf ab, sicherzustellen, dass sensible Daten, die nicht mehr relevant sind, unwiederbringlich gelöscht werden, um die Risiken von Datenschutzverletzungen zu minimieren.

7. Datenmaskierung

Sensible Daten sollten nicht für alle zugänglich sein. Durch die neue Maßnahme der Datenmaskierung wird sichergestellt, dass sensible Informationen bei der Verarbeitung, Analyse oder dem Testen von Systemen verdeckt bleiben. Dies schützt insbesondere personenbezogene Daten und verhindert unbefugten Zugriff auf vertrauliche Informationen.

8. Data Leakage Prevention (Verhinderung von Datenlecks)

Der Schutz vor ungewolltem Abfluss von Daten ist entscheidend. Data Leakage Prevention umfasst Maßnahmen, die verhindern, dass sensible Daten das Unternehmen unkontrolliert verlassen. Dies schließt den Schutz vor unbewussten oder böswilligen Handlungen von Mitarbeitern sowie die Überwachung externer Schnittstellen ein.

9. Überwachungsaktivitäten

Unternehmen müssen zunehmend auf anomales Verhalten in ihren Systemen achten. Diese Maßnahme fordert, dass Unternehmen Überwachungsmechanismen implementieren, die ungewöhnliche oder auffällige Aktivitäten identifizieren. So können mögliche Sicherheitsvorfälle frühzeitig erkannt und Gegenmaßnahmen ergriffen werden.

10. Webfilterung

Die Kontrolle über den Zugang zu Websites ist ein weiterer wichtiger Sicherheitsaspekt. Mit der neuen Webfilterungsmaßnahme soll sichergestellt werden, dass der Zugang zu schädlichen oder unerwünschten Inhalten eingeschränkt wird. Dies reduziert das Risiko, dass Mitarbeiter auf unsichere Webseiten zugreifen, die Malware oder andere Bedrohungen beinhalten.

11. Sichere Softwareentwicklung

Die Anforderungen an die sichere Softwareentwicklung wurden erweitert. Unternehmen müssen sicherstellen, dass alle Phasen des Softwareentwicklungsprozesses auf Sicherheit ausgelegt sind. Dies schließt die Anwendung sicherer Entwicklungspraktiken sowie die regelmäßige Überprüfung der Sicherheit von Software ein.

Auswirkungen auf Unternehmen

Die neuen und überarbeiteten Maßnahmen in der ISO 27001 stellen Unternehmen vor die Herausforderung, ihre bestehenden Sicherheitspraktiken zu überprüfen und gegebenenfalls anzupassen. Jede Maßnahme muss individuell auf ihren Mehrwert für die Informationssicherheit geprüft werden. Dabei spielen Faktoren wie die Größe des Unternehmens, die Branche und die spezifischen Bedrohungen, denen das Unternehmen ausgesetzt ist, eine wichtige Rolle.

Die Reduzierung der Gesamtanzahl der Maßnahmen von 114 auf 93 soll Unternehmen dabei helfen, ihre Sicherheitsmaßnahmen effizienter zu gestalten. Durch die Zusammenfassung ähnlicher Maßnahmen wird der Implementierungsaufwand verringert, während gleichzeitig die Wirksamkeit der Maßnahmen erhöht wird. Die neue Struktur der Kategorien (organisatorisch, personenbezogen, physisch und technisch) erleichtert zudem die Zuordnung und Verwaltung der Maßnahmen.

Implementierung der neuen Anforderungen

Die Implementierung der neuen Sicherheitsmaßnahmen kann komplex sein, da sie stark von der individuellen Unternehmensstruktur abhängt. Unternehmen müssen zunächst eine Risikoanalyse durchführen, um festzustellen, welche Maßnahmen für sie relevant sind. Anschließend müssen entsprechende Prozesse und Technologien implementiert werden, um die Anforderungen der ISO 27001 zu erfüllen.

Einige der neuen Maßnahmen, wie beispielsweise die Cloud-Sicherheit oder die Überwachungsaktivitäten, erfordern möglicherweise die Anschaffung neuer Technologien oder die Schulung von Mitarbeitern. Andere, wie das Konfigurationsmanagement oder die Datenlöschung, verlangen vor allem organisatorische Anpassungen und eine engere Zusammenarbeit zwischen den IT- und Sicherheitsteams.

Fazit

Die neue Version der ISO 27001 bringt signifikante Änderungen mit sich, insbesondere in Bezug auf die Sicherheitsmaßnahmen im Anhang A. Unternehmen müssen sich auf diese Neuerungen einstellen und ihre Informationssicherheitsmaßnahmen entsprechend anpassen. Dies erfordert nicht nur technisches Know-how, sondern auch organisatorische und strategische Maßnahmen, um die neuen Anforderungen effizient umzusetzen.

Für Unternehmen, die Unterstützung bei der Implementierung der neuen Maßnahmen benötigen, bietet die Syngenity® GmbH umfassende Beratung und Dienstleistungen an. Kontaktieren Sie uns noch heute über unsere Webseite: www.syngenity.de, um ein unverbindliches Angebot zu erhalten.

weitere News

NIS2UmsuCG – Sind Sie bereit für die neuen Anforderungen?

NIS2UmsuCG – Sind Sie bereit für die neuen Anforderungen?

ISO 9001 Audit – Qualitätsmanagementsystem

ISO 9001 Audit – Qualitätsmanagementsystem

Schwachstellenscan als Bestandteil eines effektiven Informationssicherheitsmanagementsystems

Schwachstellenscan als Bestandteil eines effektiven Informationssicherheitsmanagementsystems

GAP-Analyse

GAP-Analyse

Warum sind Informationssicherheitsrisiken Business-Risiken?

Warum sind Informationssicherheitsrisiken Business-Risiken?

7 Schritte zum Aufbau einer Kultur von Compliance in Ihrem Unternehmen

7 Schritte zum Aufbau einer Kultur von Compliance in Ihrem Unternehmen

Consent Management Platform von Real Cookie Banner