{"id":2092,"date":"2023-02-26T14:17:00","date_gmt":"2023-02-26T12:17:00","guid":{"rendered":"https:\/\/it-news-blog.com\/?p=2092"},"modified":"2023-05-09T14:25:37","modified_gmt":"2023-05-09T12:25:37","slug":"die-neue-welt-der-iso-iec-270012022-informationssicherheit","status":"publish","type":"post","link":"https:\/\/it-news-blog.com\/?p=2092","title":{"rendered":"Die neue Welt der ISO\/IEC 27001:2022 – Informationssicherheit"},"content":{"rendered":"

Seit dem Ende des Jahres 2022 ist die neue Version der ISO 27001:2022 verf\u00fcgbar. In diesem Artikel beschreibe ich die wesentlichen Unterschiede, die ich zwischen der neuen Version und der von 2017 erkennen konnte.<\/strong><\/p>\n

Wie umfassend sind die \u00c4nderungen?<\/strong>
\nZun\u00e4chst die erfreuliche Nachricht: Der Hauptteil der Norm bleibt gr\u00f6\u00dftenteils unver\u00e4ndert. Es gibt lediglich zwei geringf\u00fcgige inhaltliche \u00c4nderungen und einige Umgestaltungen, die wenige Unter\u00fcberschriften hinzuf\u00fcgen, um die Struktur zu verbessern.<\/p>\n

\u00c4nderungen im Hauptteil der Norm:<\/strong>
\nInteressierten Parteien: In der ISO 27001:2017 war es bereits erforderlich (Kapitel 4.2), die relevanten Interessierten Parteien und ihre Bed\u00fcrfnisse zu identifizieren. In der Version 2022 haben Sie jedoch die M\u00f6glichkeit, zu entscheiden, welche Interessengruppen f\u00fcr Sie von Bedeutung sind und welche nicht.<\/p>\n

Betriebliche Planung und Steuerung: Kapitel 8.1 wurde etwas versch\u00e4rft. Die Anforderungen an die Prozesse, die in Ihrer Organisation zur Verfolgung der Informationssicherheit ben\u00f6tigt werden, sind nun deutlicher formuliert. Obwohl die ISO 27001:2022 nicht direkt vorschreibt, dass alle Prozesse dokumentiert werden m\u00fcssen, sind die Kriterien f\u00fcr eine schriftliche Dokumentation pr\u00e4ziser. Es ist zu erwarten, dass Auditoren dies genauer pr\u00fcfen werden.<\/p>\n

Anhang A – Alles auf den Kopf gestellt?<\/strong>
\nSo sieht es zumindest aus. Die knapp 120 Einzelma\u00dfnahmen aus der ISO 27001:2017 wurden auf 93 reduziert. Allerdings ist es dadurch nicht unbedingt einfacher geworden, da einige Ma\u00dfnahmen zu einer einzigen zusammengef\u00fchrt wurden.
\nZus\u00e4tzlich gibt es einige v\u00f6llig neue Ma\u00dfnahmen, die folgenderma\u00dfen aussehen:<\/p>\n

Threat Intelligence<\/strong>
\nAuf strategischer Ebene (Gesch\u00e4ftsf\u00fchrung) sowie auf operativer und taktischer Ebene (z. B. IT) werden aufkommende Bedrohungen aktiv gesammelt, um fr\u00fchzeitig darauf reagieren zu k\u00f6nnen.<\/p>\n

Information Asset Management<\/strong>
\nDie ISO 27001 fordert nun ausdr\u00fccklich, dass Informationswerte (prim\u00e4re assets) denselben Regeln unterliegen wie Informationstr\u00e4ger (supporting assets). Das bedeutet, dass die Eigent\u00fcmerschaft geregelt werden muss, ebenso wie der Zugang zu Informationswerten, die R\u00fcckgabe von Zug\u00e4ngen und vieles mehr. In der ISO 27001:2017 war es noch m\u00f6glich, sich weitgehend auf Informationstr\u00e4ger zu beschr\u00e4nken, aber das ist jetzt nicht mehr der Fall.<\/p>\n

Web Filtering<\/strong>
\nAb sofort muss der Zugang zu externen Websites verwaltet werden, um sicherzustellen, dass Mitarbeiter der Organisation nicht versehentlich Malware herunterladen oder Zugang zu Ressourcen erhalten, auf die sie keinen Zugriff haben sollten.<\/p>\n

Identity Management<\/strong>
\nDie ISO 27001 fordert nun eine ganzheitliche Betrachtung \u00fcber den gesamten Lebenszyklus von Identit\u00e4ten, die Zugriffe auf Informationswerte und Informationstr\u00e4ger haben sollen, unabh\u00e4ngig davon, ob es sich um menschliche oder maschinelle Identit\u00e4ten handelt.<\/p>\n

Information Security bei Nutzung von Clouddiensten<\/strong>
\nDie Organisation muss nun explizit definieren, welchen Grad an Informationssicherheit (in der Regel Verf\u00fcgbarkeit) sie bei Ausf\u00e4llen bestimmter Dienste oder Ger\u00e4te aufrechterhalten m\u00f6chte. Obwohl dieses Thema in der ISO 27001:2017 im Bereich Business Continuity eher versteckt war oder dort abgedeckt werden konnte, ist es nun explizit gefordert.<\/p>\n

Sicherheit im Home-Office<\/strong>
\nDie ISO 27001:2022 ber\u00fccksichtigt auch die Arbeit von zu Hause aus und erkennt an, dass Mitarbeiter im Home-Office oft eine weniger sichere Infrastruktur haben als im B\u00fcro. Daher muss dies nun explizit geregelt werden.<\/p>\n

Event Reporting<\/strong>
\nGemeint ist hiermit nicht die automatische \u00dcberwachung von Logfiles, sondern die Sensibilisierung der Mitarbeiter f\u00fcr einfache und schnelle Meldeverfahren bei m\u00f6glichen Vorf\u00e4llen in der Informationssicherheit.<\/p>\n

Zugangsbeschr\u00e4nkungen gem. Policy<\/strong>
\nDie ISO 27001:2022 fordert nun, dass die Zugriffsrechte auf Informationen in einer Policy festgelegt werden sollten, die aus der Informationssicherheitsstrategie abgeleitet wird. In der ISO 27001:2017 wurde lediglich ein „formeller Prozess“ f\u00fcr die Zugriffskontrolle gefordert, jedoch nicht explizit die Ableitung aus der Strategie.<\/p>\n

Configuration Management<\/strong>
\nIn der neuen Version der Norm wird explizit gefordert, dass wichtige Konfigurationen von Systemen (Hardware, Software, Dienste, Netzwerke, usw.) etabliert, dokumentiert und aufrechterhalten werden m\u00fcssen, um die Sicherheit zu gew\u00e4hrleisten. Diese Forderung gab es in der vorherigen Version der Norm nicht in dieser Form. Bisher konnte sie beispielsweise in den „dokumentierten Bedienverfahren“ ber\u00fccksichtigt werden. Wenn Sie auf die neue Version umsteigen, k\u00f6nnte es jedoch notwendig sein, diese Forderung separat zu erf\u00fcllen.<\/p>\n

Data Masking<\/strong>
\nDie sch\u00fctzenswerten Bestandteile von Daten m\u00fcssen gem\u00e4\u00df bestimmter Regeln pseudonymisiert oder anonymisiert werden, um unbefugte Kenntnisnahme zu verhindern. Zudem wird nun auch in der ISO 27001:2022 ein L\u00f6schkonzept f\u00fcr s\u00e4mtliche Datenarten in der Organisation gefordert, \u00e4hnlich wie die DSGVO es bereits f\u00fcr personenbezogene Daten vorschreibt.<\/p>\n

Data Leakage Prevention<\/strong>
\nMit dieser Forderung stellt uns die neue ISO 27001:2022 vor eine der umfangreichsten Aufgaben. Es ist jetzt erforderlich, dass Organisationen genau \u00fcberlegen und dokumentieren, wie sch\u00fctzenswerte Informationen unbeabsichtigt „verloren gehen“ k\u00f6nnen. Denkbar sind beispielsweise: Gesch\u00e4ftsreisen, Besprechungen, E-Mails, Uploads auf Servern, unverschl\u00fcsselte Daten auf verlorenen Datentr\u00e4gern und mobilen Ger\u00e4ten oder die Speicherung auf falschen Fileservern. Auch der Zugriff durch unberechtigte Mitarbeiter bei fehlerhafte Rechtevergabe ist neben vielen weiteren Szenarien zu ber\u00fccksichtigen. Hierdurch sollen geeignete technische und organisatorische Ma\u00dfnahmen ermittelt werden, um wirksam die bestehenden Risiken zu beseitigen.<\/p>\n

 <\/p>\n

Matthias A. Walter,<\/strong> http:\/\/www.tec4net.com<\/a><\/p>\n

\n

EDV-Sachverst\u00e4ndiger und Datenschutzauditor<\/p>\n<\/div>\n

\u2014\u2014\u2014\u2014\u2014\u2014\u2014\u2014\u2014\u2014\u2014\u2014\u2014\u2014\u2014\u2014\u2014\u2014\u2014\u2014\u2014\u2014\u2014\u2014\u2014\u2014\u2014\u2014\u2014\u2014\u2014\u2014\u2014\u2014\u2014\u2014\u2014\u2014\u2014\u2014-<\/p>\n

Quellen und Links:<\/strong><\/p>\n

Beuth Verlag – Anforderungen ISO\/IEC 27001:2022
\nhttps:\/\/www.beuth.de\/de\/norm\/iso-iec-27001\/360980333<\/a><\/p>\n

tec4net – Datenschutz und IT-Sicherheit praktikabel umsetzen
\n<\/strong><\/p>\n

\"\"<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

Seit dem Ende des Jahres 2022 ist die neue Version der ISO 27001:2022 verf\u00fcgbar. In diesem Artikel beschreibe ich die wesentlichen Unterschiede, die ich zwischen der neuen Version und der von 2017 erkennen konnte. Wie umfassend sind die \u00c4nderungen? Was sind die neuen Forderungen?<\/p>\n","protected":false},"author":2,"featured_media":1699,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":[],"categories":[1],"tags":[305,92,71,331,68,69,368,38,172],"yoast_head":"\nDie neue Welt der ISO\/IEC 27001:2022 - Informationssicherheit - IT-NEWS-BLOG<\/title>\n<meta name=\"robots\" content=\"index, follow, max-snippet:-1, max-image-preview:large, max-video-preview:-1\" \/>\n<link rel=\"canonical\" href=\"https:\/\/it-news-blog.com\/?p=2092\" \/>\n<meta property=\"og:locale\" content=\"de_DE\" \/>\n<meta property=\"og:type\" content=\"article\" \/>\n<meta property=\"og:title\" content=\"Die neue Welt der ISO\/IEC 27001:2022 - Informationssicherheit - IT-NEWS-BLOG\" \/>\n<meta property=\"og:description\" content=\"Seit dem Ende des Jahres 2022 ist die neue Version der ISO 27001:2022 verf\u00fcgbar. In diesem Artikel beschreibe ich die wesentlichen Unterschiede, die ich zwischen der neuen Version und der von 2017 erkennen konnte. Wie umfassend sind die \u00c4nderungen? Was sind die neuen Forderungen?\" \/>\n<meta property=\"og:url\" content=\"https:\/\/it-news-blog.com\/?p=2092\" \/>\n<meta property=\"og:site_name\" content=\"IT-NEWS-BLOG\" \/>\n<meta property=\"article:published_time\" content=\"2023-02-26T12:17:00+00:00\" \/>\n<meta property=\"article:modified_time\" content=\"2023-05-09T12:25:37+00:00\" \/>\n<meta property=\"og:image\" content=\"https:\/\/it-news-blog.com\/wp-content\/uploads\/2012\/05\/250512.jpg\" \/>\n\t<meta property=\"og:image:width\" content=\"960\" \/>\n\t<meta property=\"og:image:height\" content=\"400\" \/>\n\t<meta property=\"og:image:type\" content=\"image\/jpeg\" \/>\n<meta name=\"author\" content=\"Matthias Walter\" \/>\n<meta name=\"twitter:card\" content=\"summary_large_image\" \/>\n<meta name=\"twitter:label1\" content=\"Verfasst von\" \/>\n\t<meta name=\"twitter:data1\" content=\"Matthias Walter\" \/>\n\t<meta name=\"twitter:label2\" content=\"Gesch\u00e4tzte Lesezeit\" \/>\n\t<meta name=\"twitter:data2\" content=\"4\u00a0Minuten\" \/>\n<script type=\"application\/ld+json\" class=\"yoast-schema-graph\">{\"@context\":\"https:\/\/schema.org\",\"@graph\":[{\"@type\":\"WebPage\",\"@id\":\"https:\/\/it-news-blog.com\/?p=2092\",\"url\":\"https:\/\/it-news-blog.com\/?p=2092\",\"name\":\"Die neue Welt der ISO\/IEC 27001:2022 - Informationssicherheit - IT-NEWS-BLOG\",\"isPartOf\":{\"@id\":\"https:\/\/it-news-blog.com\/#website\"},\"datePublished\":\"2023-02-26T12:17:00+00:00\",\"dateModified\":\"2023-05-09T12:25:37+00:00\",\"author\":{\"@id\":\"https:\/\/it-news-blog.com\/#\/schema\/person\/e0c100c6b645f34e659beeb06e2295fc\"},\"breadcrumb\":{\"@id\":\"https:\/\/it-news-blog.com\/?p=2092#breadcrumb\"},\"inLanguage\":\"de\",\"potentialAction\":[{\"@type\":\"ReadAction\",\"target\":[\"https:\/\/it-news-blog.com\/?p=2092\"]}]},{\"@type\":\"BreadcrumbList\",\"@id\":\"https:\/\/it-news-blog.com\/?p=2092#breadcrumb\",\"itemListElement\":[{\"@type\":\"ListItem\",\"position\":1,\"name\":\"Startseite\",\"item\":\"https:\/\/it-news-blog.com\/\"},{\"@type\":\"ListItem\",\"position\":2,\"name\":\"Die neue Welt der ISO\/IEC 27001:2022 – Informationssicherheit\"}]},{\"@type\":\"WebSite\",\"@id\":\"https:\/\/it-news-blog.com\/#website\",\"url\":\"https:\/\/it-news-blog.com\/\",\"name\":\"IT-NEWS-BLOG\",\"description\":\"Ein Service der tec4net GmbH\",\"potentialAction\":[{\"@type\":\"SearchAction\",\"target\":{\"@type\":\"EntryPoint\",\"urlTemplate\":\"https:\/\/it-news-blog.com\/?s={search_term_string}\"},\"query-input\":\"required name=search_term_string\"}],\"inLanguage\":\"de\"},{\"@type\":\"Person\",\"@id\":\"https:\/\/it-news-blog.com\/#\/schema\/person\/e0c100c6b645f34e659beeb06e2295fc\",\"name\":\"Matthias Walter\",\"sameAs\":[\"https:\/\/tec4net.com\"],\"url\":\"https:\/\/it-news-blog.com\/?author=2\"}]}<\/script>\n<!-- \/ Yoast SEO plugin. -->","yoast_head_json":{"title":"Die neue Welt der ISO\/IEC 27001:2022 - Informationssicherheit - IT-NEWS-BLOG","robots":{"index":"index","follow":"follow","max-snippet":"max-snippet:-1","max-image-preview":"max-image-preview:large","max-video-preview":"max-video-preview:-1"},"canonical":"https:\/\/it-news-blog.com\/?p=2092","og_locale":"de_DE","og_type":"article","og_title":"Die neue Welt der ISO\/IEC 27001:2022 - Informationssicherheit - IT-NEWS-BLOG","og_description":"Seit dem Ende des Jahres 2022 ist die neue Version der ISO 27001:2022 verf\u00fcgbar. In diesem Artikel beschreibe ich die wesentlichen Unterschiede, die ich zwischen der neuen Version und der von 2017 erkennen konnte. Wie umfassend sind die \u00c4nderungen? Was sind die neuen Forderungen?","og_url":"https:\/\/it-news-blog.com\/?p=2092","og_site_name":"IT-NEWS-BLOG","article_published_time":"2023-02-26T12:17:00+00:00","article_modified_time":"2023-05-09T12:25:37+00:00","og_image":[{"width":960,"height":400,"url":"https:\/\/it-news-blog.com\/wp-content\/uploads\/2012\/05\/250512.jpg","type":"image\/jpeg"}],"author":"Matthias Walter","twitter_card":"summary_large_image","twitter_misc":{"Verfasst von":"Matthias Walter","Gesch\u00e4tzte Lesezeit":"4\u00a0Minuten"},"schema":{"@context":"https:\/\/schema.org","@graph":[{"@type":"WebPage","@id":"https:\/\/it-news-blog.com\/?p=2092","url":"https:\/\/it-news-blog.com\/?p=2092","name":"Die neue Welt der ISO\/IEC 27001:2022 - Informationssicherheit - IT-NEWS-BLOG","isPartOf":{"@id":"https:\/\/it-news-blog.com\/#website"},"datePublished":"2023-02-26T12:17:00+00:00","dateModified":"2023-05-09T12:25:37+00:00","author":{"@id":"https:\/\/it-news-blog.com\/#\/schema\/person\/e0c100c6b645f34e659beeb06e2295fc"},"breadcrumb":{"@id":"https:\/\/it-news-blog.com\/?p=2092#breadcrumb"},"inLanguage":"de","potentialAction":[{"@type":"ReadAction","target":["https:\/\/it-news-blog.com\/?p=2092"]}]},{"@type":"BreadcrumbList","@id":"https:\/\/it-news-blog.com\/?p=2092#breadcrumb","itemListElement":[{"@type":"ListItem","position":1,"name":"Startseite","item":"https:\/\/it-news-blog.com\/"},{"@type":"ListItem","position":2,"name":"Die neue Welt der ISO\/IEC 27001:2022 – Informationssicherheit"}]},{"@type":"WebSite","@id":"https:\/\/it-news-blog.com\/#website","url":"https:\/\/it-news-blog.com\/","name":"IT-NEWS-BLOG","description":"Ein Service der tec4net GmbH","potentialAction":[{"@type":"SearchAction","target":{"@type":"EntryPoint","urlTemplate":"https:\/\/it-news-blog.com\/?s={search_term_string}"},"query-input":"required name=search_term_string"}],"inLanguage":"de"},{"@type":"Person","@id":"https:\/\/it-news-blog.com\/#\/schema\/person\/e0c100c6b645f34e659beeb06e2295fc","name":"Matthias Walter","sameAs":["https:\/\/tec4net.com"],"url":"https:\/\/it-news-blog.com\/?author=2"}]}},"_links":{"self":[{"href":"https:\/\/it-news-blog.com\/index.php?rest_route=\/wp\/v2\/posts\/2092"}],"collection":[{"href":"https:\/\/it-news-blog.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/it-news-blog.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/it-news-blog.com\/index.php?rest_route=\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/it-news-blog.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=2092"}],"version-history":[{"count":3,"href":"https:\/\/it-news-blog.com\/index.php?rest_route=\/wp\/v2\/posts\/2092\/revisions"}],"predecessor-version":[{"id":2095,"href":"https:\/\/it-news-blog.com\/index.php?rest_route=\/wp\/v2\/posts\/2092\/revisions\/2095"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/it-news-blog.com\/index.php?rest_route=\/wp\/v2\/media\/1699"}],"wp:attachment":[{"href":"https:\/\/it-news-blog.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=2092"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/it-news-blog.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=2092"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/it-news-blog.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=2092"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}