ISMS auf dem neuesten Stand: Die neuen Sicherheitsmaßnahmen der ISO/IEC 27001:2022

Die ISO/IEC 27001:2022 bringt nicht nur eine neue Struktur mit vier Themenbereichen (Organisatorisch, Personenbezogen, Physisch und Technologisch), sondern auch elf neue Sicherheitsmaßnahmen. Diese Ergänzungen berücksichtigen aktuelle Entwicklungen wie die verstärkte Nutzung von Cloud-Diensten, komplexere Bedrohungslagen und strengere Datenschutzanforderungen. Sie helfen Organisationen, ihr Informationssicherheits-Managementsystem (ISMS) zeitgemäßer und robuster zu gestalten.

Neue Sicherheitsmaßnahmen in der ISO/IEC 27001:2022Mit der Revision der ISO/IEC 27001 im Jahr 2022 wurde der Anhang A grundlegend überarbeitet. Die Anzahl der Controls wurde von 114 auf 93 reduziert, indem inhaltlich ähnliche Maßnahmen zusammengefasst wurden. Gleichzeitig wurden elf neue Controls aufgenommen, die moderne Herausforderungen wie Cloud-Nutzung, Bedrohungslandschaft und Datenschutz besser adressieren.

Die elf neuen Sicherheitsmaßnahmen im Annex A der ISO/IEC 27001:2022 sind:

  • IKT-Bereitschaft für die Business Continuity (A.5.30)
    Diese Maßnahme legt Anforderungen an die ICT-Bereitschaft fest, um die Aufrechterhaltung kritischer Geschäftsprozesse bei Störungen sicherzustellen. Der Fokus liegt auf der technischen und organisatorischen Vorbereitung für die Wiederherstellung.
  • Informationssicherheit bei der Nutzung von Cloud-Diensten (A.5.23)
    Sie regelt sichere Abläufe für das Onboarding, den Betrieb, die Verwaltung und die Beendigung von Cloud-Diensten und stellt sicher, dass der Cloud-Anbieter angemessene Sicherheitsmaßnahmen einhält.
  • Physische Sicherheitsüberwachung (A.7.4)
    Diese Maßnahme umfasst den Einsatz von Überwachungstechniken (z. B. Kameras oder Alarmanlagen), um unbefugten Zutritt zu verhindern und abzuschrecken.
  • Bedrohungsintelligenz (A.5.7)
    Ziel ist die systematische Sammlung und Auswertung von Informationen über aktuelle und zukünftige Bedrohungen, um daraus geeignete Schutzmaßnahmen abzuleiten.
  • Verhinderung von Datenlecks (A.8.12 – Data Leakage Prevention)
    Diese Maßnahme dient der Erkennung und Verhinderung von unbefugter Offenlegung oder Verlust sensibler Daten.
  • Löschung von Informationen (A.8.10)
    Sie definiert Anforderungen an die sichere und regelkonforme Löschung von Informationen unter Berücksichtigung gesetzlicher Vorgaben wie der DSGVO.
  • Überwachung von Aktivitäten (A.8.16)
    Abweichende oder verdächtige Aktivitäten in Informationssystemen sollen proaktiv überwacht werden, um potenzielle Sicherheitsvorfälle frühzeitig zu erkennen.
  • Datenmaskierung (A.8.11)
    Diese Maßnahme beschreibt Techniken zur Beschränkung, Anonymisierung oder Pseudonymisierung sensibler Daten, um den Schutz personenbezogener oder vertraulicher Informationen zu gewährleisten.
  • Webfilterung (A.8.22)
    Durch Webfilterung sollen der Zugriff auf schädliche oder unerwünschte Websites blockiert und damit Risiken wie Malware-Infektionen oder Datendiebstahl verringert werden.
  • Konfigurationsmanagement (A.8.9)
    Diese Maßnahme stellt sicher, dass Hard- und Software sowie Systeme sicher und konsistent konfiguriert und diese Konfigurationen geschützt werden.
  • Sichere Kodierung (A.8.28)
    Sie legt Anforderungen an die sichere Entwicklung von Software fest, um Schwachstellen bereits während des Entwicklungsprozesses zu vermeiden.

Wir unterstützen Unternehmen dabei, die ISO 27001 und andere Normen wie TISAX oder PCI-DSS erfolgreich einzuführen und zu betreiben.

 

Unser Angebot für Sie:

  • Beratung zur Einführung und Umsetzung eines ISMS
  • Vorbereitung auf BSI- und BNetzA-Prüfungen sowie KRITIS-Nachweise
  • Durchführung interner Audits zur Behebung von Abweichungen
  • Begleitung bei externen Audits und Zertifizierungen
  • Schulung und Awareness-Maßnahmen für Mitarbeiter

 

 

Kontaktieren Sie uns noch heute!
Für ein unverbindliches Erstgespräch – wir beraten Sie
zu Datenschutz und IT-Sicherheit.

 

Matthias A. Walter, http://www.tec4net.com

EDV-Sachverständiger | Auditor für Datenschutz und IT-Sicherheit

Quellen und Links:

Durchführung internes Audit – mit der tect4net GmbH
https://www.tec4net.com/web/iso-19011/

Fragen und Antworten zu Audits
https://www.tec4net.com/web/category/wissen-audit/

ISO/IEC 27001 – Informationssicherheitsmanagement
https://www.iso.org/isoiec-27001-information-security.html

ISO/IEC 27002 – Sicherheitsmaßnahmen für ISMS
https://www.iso.org/standard/75652.html

Deutsche Akkreditierungsstelle (DAkkS)
https://www.dakks.de/

tec4net – Datenschutz und IT-Sicherheit praktikabel umsetzen
Wir beraten und auditieren DSGVO und BDSG sowie die Normen ISO/IEC 27001, TISAX, NIS-2 und PCI-DSS.

 

www.tec4net.comwww.it-news-blog.comwww.it-sachverstand.infowww.datenschutz-muenchen.comwww.it-sicherheit-muenchen.com