Infor­ma­ti­ons­si­cher­heits­ma­nage­ment­sys­te­me – ISO/IEC 27001

ISO/IEC 27001:2022

Im Okto­ber 2022 wur­de die Revi­si­on der ISO/IEC 27001 ver­öf­fent­licht. Gemäß den neu­en Richt­li­ni­en ist es zwin­gend erfor­der­lich, dass alle ISO/IEC 27001-Zer­ti­fi­ka­te bis spä­tes­tens 31. Okto­ber 2025 auf die ISO/IEC 27001:2022 umge­stellt wer­den. Ab die­sem Datum wer­den Zer­ti­fi­ka­te, die nach der alten Norm aus­ge­stellt wur­den, ihre Gül­tig­keit ver­lie­ren.
Wir möch­ten beto­nen, dass Erst­zer­ti­fi­zie­run­gen und Rezer­ti­fi­zie­run­gen nach der alten Norm nur bis zum 30. April 2024 durch­ge­führt wer­den kön­nen. Es ist daher uner­läss­lich, recht­zei­tig Maß­nah­men zu ergrei­fen, um sicher­zu­stel­len, dass Ihr Unter­neh­men den Über­gang frist­ge­recht bewäl­tigt und die Kon­ti­nui­tät Ihrer Zer­ti­fi­zie­rung gewähr­leis­tet ist.
Bit­te beach­ten Sie, dass die Umstel­lung auf die ISO/IEC 27001:2022 mit einem zusätz­li­chen Zer­ti­fi­zie­rungs­auf­wand ver­bun­den ist. Bei Rezer­ti­fi­zie­rungs­au­dits beträgt der vor­aus­sicht­li­che Umstel­lungs­auf­wand min­des­tens 0,5 Audit­ta­ge, wäh­rend Über­wa­chungs­au­dits oder im Rah­men einer sepa­ra­ten Über­prü­fung min­des­tens einen zusätz­li­chen Audit­tag erfor­dern.
Wir ste­hen Ihnen in die­sem Pro­zess zur Sei­te und sind bereit, Sie bei jedem Schritt zu unter­stüt­zen. Wenn Sie Fra­gen haben, wei­ter­füh­ren­de Infor­ma­tio­nen wün­schen oder Hil­fe bei der Pla­nung Ihrer Umstel­lung benö­ti­gen, zögern Sie bit­te nicht, uns zu kontaktieren.

Ihre Daten ver­die­nen zer­ti­fi­zier­ten Schutz!

Unter­neh­mens­pro­zes­se sind heu­te maß­geb­lich von Sys­te­men der Infor­ma­ti­ons­tech­nik abhän­gig. Feh­ler in die­sen Sys­te­men haben meist weit­rei­chen­de Aus­wir­kun­gen auf die Funk­ti­ons­fä­hig­keit und Ver­läss­lich­keit geschäfts­kri­ti­scher Ver­fah­ren. Dabei ist es kaum von Bedeu­tung, ob die Ursa­che in Soft­ware­feh­lern, Hackern oder geziel­ten Angrif­fen wie durch Ver­schlüs­se­lungs­tro­ja­ner liegt. Gleich­zei­tig wer­den Infor­ma­tio­nen in den Unter­neh­men von ver­schie­de­nen Abtei­lun­gen oder oft auch in exter­nen Online-Diens­ten (Stich­wort „Cloud“) ver­ar­bei­tet. Sen­si­ble Infor­ma­tio­nen wie Ver­trä­ge, Paten­te, Geschäfts­be­rich­te oder per­sön­li­che Daten gilt es an all die­sen Punk­ten in Hin­blick auf Ver­trau­lich­keit, Inte­gri­tät und Ver­füg­bar­keit zu schützen.

DIN EN ISO 27001
IT-Sicher­heits­ka­ta­log gem. §11 Abs. 1a EnWG

Die ISO/IEC 27001 stellt das inter­na­tio­nal füh­ren­de Regel­werk dar, wel­ches die Ein­füh­rung und Auf­recht­erhal­tung eines ange­mes­se­nen Infor­ma­ti­ons­si­cher­heits-Manage­ment­sys­tems (kurz „ISMS“) beschreibt. Kern die­ses Sys­tems ist ein zen­tra­les Risi­ko­ma­nage­ment, in wel­chem alle Ana­ly­sen der Bedro­hungs­la­ge in Ver­bin­dung mit geeig­ne­ten Gegen­maß­nah­men gesetzt wer­den. Als Richt­wert lie­fert die ISO/IEC 27001 eine Rei­he von zu betrach­ten­den Aspek­ten, z.B. ist ein geeig­ne­tes Patch Manage­ment zu eta­blie­ren, das Bewusst­sein der Mit­ar­bei­ter zu schär­fen oder die phy­si­sche Sicher­heit zu prü­fen. Betrei­ber von Ener­gie­ver­sor­gungs­net­zen sind auf Grund­la­ge des Ener­gie­wirt­schafts­ge­set­zes (EnWG) bereits heu­te auf­ge­for­dert ein wirk­sa­mes Infor­ma­ti­ons­si­cher­heits-Manage­ment­sys­tem auf­zu­bau­en und durch eine aner­kann­te Zer­ti­fi­zie­rungs­stel­le nach­zu­wei­sen. Hier­bei gilt neben der DIN EN ISO 27001 der IT-Sicher­heits­ka­ta­log gemäß §11 Abs. 1a EnWG (kurz „SiKat“). Die­ser beschreibt zum einen den Min­dest­um­fang der Prü­fung als auch kon­kre­te tech­ni­sche Anfor­de­run­gen an das spe­zi­el­le Umfeld in die­sem Bereich der „Kri­ti­schen Infrastrukturen“.