Norm ISO 27001:2022

Inhaltliche Struktur

Nach den einführenden Kapiteln 1 – 3

  1. Zweck und Anwendungsbereich
  2. Normative Verweise
  3. Begriffe

folgen die Anforderungen und Maßnahmen, die an Unternehmen gestellt werden, wenn sie sich nach der ISO 27001:2022 zertifizieren lassen wollen. Die Kapitel 4 bis Kapitel 10 entsprechen der „Harmonized Structure“ oder auch „High Level Structur“ genannt. Man versteht darunter eine identische Kapitelstruktur, die in mehreren Normen umgesetzt ist, wie beispielsweise in der ISO 9001 Qualitätsmanagementsystem und ISO 14001 Umweltmanagementsystem.

Der Anhang A der ISO 27001:2022 enthält 93 Maßnahmen, die der Risikobehandlung dienen und in vier Themenbereiche gegliedert sind. Sie bilden das Referenzset für die Statement of Applicability (SoA).

Norm – Anforderungen und Maßnahmen

Folgende Anforderungen sind seitens Unternehmen umzusetzen:

  1. Organisation und Kontext

Unternehmen müssen:

  • den Kontext der Organisation bestimmen (interne/externe Faktoren),
  • interessierte Parteien und deren Anforderungen identifizieren,
  • den Anwendungsbereich (Scope) des ISMS festlegen,
  • die ISMS-Prozesse definieren und dokumentieren.
  1. Führung

Anforderungen an die oberste Leitung:

  • Festlegung einer ISMS-Politik,
  • Sicherstellung der Ressourcen,
  • Definition von Rollen und Verantwortlichkeiten,
  • Förderung einer sicherheitsorientierten Unternehmenskultur.
  1. Planung

Kernstück der Norm:

  • Risikobewertung und Risikobehandlung nach einem systematischen und dokumentierten Verfahren,
  • Auswahl an Anforderungen aus Anhang A – dokumentiert in der Statement of Applicability (SoA),
  • Planung messbarer Informationssicherheitsziele.
  1. Unterstützung

Erfordert:

  • ausreichende Ressourcen,
  • Kompetenzmanagement, Schulungen,
  • gesteuerte Dokumentierte Informationen (Dokumentation & Aufzeichnungen),
  • interne und externe Kommunikation nach definierten Regeln.
  1. Betrieb

Umfasst:

  • operative Umsetzung der ISMS-Prozesse,
  • Durchführung der Risikobewertung / Risikobehandlung,
  • Steuerung ausgelagerter Prozesse (z. B. Cloud, Outsourcing),
  • dokumentierte Reaktion auf Informationssicherheitsereignisse.
  1. Bewertung der Leistung

Organisationen müssen:

  • ISMS-Monitoring etablieren (Messgrößen, KPIs),
  • interne Audits durchführen,
  • periodische Managementbewertungen (Management Review) durchführen.
  1. Verbesserung

Beinhaltet:

  • Umgang mit Nichtkonformitäten,
  • Ergreifen von Korrekturmaßnahmen,
  • fortlaufende Verbesserung des ISMS nach PDCA-Logik.
  1. Anhang A – Maßnahmen (Controls)

A.5 Organisatorische Maßnahmen (37 Controls)

  1. B. Richtlinien, Rollen & Verantwortlichkeiten, Lieferantenmanagement, Informationsklassifizierung, Datenschutz, physische Sicherheit auf organisatorischer Ebene, Threat Intelligence.

A.6 Personenbezogene Maßnahmen (8 Controls)

  1. B. Personalsicherheit, Schulungen, Verantwortlichkeiten bei Beschäftigungsbeginn, -änderung und -ende.

A.7 Physische Maßnahmen (14 Controls)

  1. B. Zutrittskontrolle, physischer Schutz von Einrichtungen, Umweltkontrollen, Schutz vor unbefugtem Zugang.

A.8 Technische Maßnahmen (34 Controls)

  1. B. Access Control, Kryptographie, Backup, Logging & Monitoring, Schwachstellenmanagement, Secure Coding, Konfigurationsmanagement, Schutz vor Malware, Netzwerk- und Endpoint-Security.