Im ersten Quartal 2022 wurde die Norm ISO/IEC 27002 umfassend überarbeitet. Werden die notwendigen Maßnahmen aus der Norm umgesetzt, macht es Unternehmen widerstandsfähiger gegen Cyberangriffe.
Für den reibungslosen Geschäftsbetrieb gibt es kaum eine größere Gefahr als Cyberattacken. Im Jahr 2021 registrierte die Polizei etwa 146.000 Cyberstraftaten. Ein neuer trauriger Rekord in der digitalen Welt. Die Hauptursache für das Wachstum von 12 Prozent im Vergleich zu 2020 ist laut Bundeskriminalamt (BKA) die zunehmende Digitalisierung. Daraus entstehen täglich neue Gelegenheiten für Hacker, um zuzuschlagen.
Aktualisierter Leitfaden zur Informationssicherheit
Studien verdeutlichen zudem die hohe Bedeutung von Informationssicherheit. Sensible Daten haben für Unternehmen einen hohen Wert. Und Hacker lassen sich ihre Beute gerne mehr als einmal mit Lösegeld bezahlen. Um diese wirtschaftlichen Konsequenzen zu vermeiden, benötigen Betriebe strukturierte Sicherheitskonzepte, die über technische Lösungen hinausgehen. Managementsysteme wie z. B. die ISO/IEC 27001 folgen einem ganzheitlichen und systematischen Lösungsansatz und orientieren sich an weltweit gültigen Normen und Standards. Der PDCA-Zyklus (Plan-Do-Check-Act-Zyklus) ist dabei auch bei der ISO/IEC 27001 – wie bei allen Managementnormen – eine elementare Grundlage.
Um Unternehmen auf sich verändernde Cyberbedrohungen besser vorzubereiten, müssen Normen regelmäßig aktualisiert werden. Deshalb wurde ein wesentlicher Bestandteil der Informationssicherheits-Normenreihe revidiert und im Frühjahr 2022 veröffentlicht. Das zentrale Element, die zertifizierbare ISO/IEC 27001 wird erst im vierten Quartal 2022 aktualisiert. Doch die ergänzende Norm ISO/IEC 27002 zu IT-Sicherheitsverfahren erhielt ein Update. Der darin enthaltende Leitfaden für das Informationssicherheitsmanagement beschreibt Kontrollmechanismen der praktischen Anwendung und zeigt, wie Unternehmen die Anforderungen an die Informationssicherheit erfüllen können.
Informationssicherheit in der Praxis – das wurde geändert:
Mit der Aktualisierung des Standards richtet sich der Fokus der ISO/IEC 27002 auf die veränderten Anforderungen an die Cybersecurity von Unternehmen und deren Bedeutung für die Informationssicherheit. Die neue Version enthält unter anderem 11 neue Controls (Maßnahmen), wie z. B. Anforderungen zu Threat Intelligence, Information security use of cloud services, Readiness for Busines Continuity, Data leakage Prevention, Secure coding. Für zertifizierte Informationssicherheitsmanagementsysteme nach ISO/IEC 27001 ändert sich zunächst wenig. Die Umstellungsfrist läuft aber ab der jeweilgen Veröffentlichung der Norm. Bei der ISO/IEC 27002:2022, zwei Jahre ab Feb. 2022. „Unternehmen sollten sich so schnell wie möglich mit den Änderungen befassen“, bilanziert Elmar Stark. „Das nächste Audit kommt schneller als man denkt“.
Newsletter
Immer informiert im Thema Nachhaltigkeit. Melden Sie sich jetzt zu unserem Newsletter an!
Anmelden