Ein genauerer Blick auf die Rolle von ISO 27001-Controls in der Informationssicherheit – aktualisiert für 27001:2022

Einem Bericht von IBM zufolge beliefen sich die durchschnittlichen Kosten für eine Datenschutzverletzung im Jahr 2023 auf 4,45 Millionen US-Dollar. 

Diese erschütternde Statistik unterstreicht, wie wichtig es für Sicherheits- und Compliance-Experten ist, die verschiedenen ISO® 27001-Controls zu verstehen. Indem sie sich mit diesen Controls vertraut machen, können Fachleute Risiken effektiv mindern, Daten schützen und die potenziellen finanziellen Auswirkungen eines Datenverstoßes minimieren, was letztlich die allgemeine Sicherheitslage ihrer Unternehmen verbessert.

In diesem ISMS-Connect-Guide erfahren Sie, warum Sicherheitsexperten die Bedeutung der TISAX-Zertifizierung verstehen müssen, um sensible Daten zu schützen, die Einhaltung gesetzlicher Vorschriften zu gewährleisten und das Vertrauen in den Automobilsektor zu fördern.

Was sind ISO® 27001-Controls?

ISO® 27001-Controls beziehen sich auf eine Reihe von standardisierten Maßnahmen, die in der ISO®/IEC 27001-Norm beschrieben sind. 

Diese Controls sind auf verschiedene Aspekte von Informationssicherheits-Managementsystemen (ISMS) ausgerichtet und dienen als umfassender Rahmen für Organisationen, um ihre sensiblen Daten, Systeme und Prozesse vor Sicherheitsbedrohungen und -verletzungen zu schützen. Sie decken ein breites Spektrum von Bereichen ab, darunter Zugangskontrolle, Risikobewertung, Vorfallsmanagement, Verschlüsselung und Mitarbeitersensibilisierung.

Die ISO® 27001-Controls sind ein wichtiger Bestandteil des ISO® 27001-Zertifizierungsprozesses, da sie in der zweiten Phase geprüft werden. Externe akkreditierte Zertifizierungsstellen führen beweiskräftige Audits durch, um den ordnungsgemäßen Einsatz und die Funktionalität der Technologie und Prozesse einer Organisation zu bestätigen und die Übereinstimmung mit den erklärten Controls zu gewährleisten.

Angesichts des Umfangs der ISO® 27001-Controls ist es für Unternehmen oft eine Herausforderung, diese zu verstehen und in ihre Abläufe zu integrieren. Dies kann ein großes Hindernis auf dem Weg zur Zertifizierung sein. Bei ISMS Connect bieten wir On-Demand-Tools, Vorlagen, Ressourcen und fachkundige Anleitung, um diese Prozesse zu vereinfachen und Sie schneller zertifizieren zu lassen.

Warum müssen Sie ISO® 27001-Controls kennen?

Es wird Ihre Informationssicherheitsstruktur und -ausrichtung verbessern

Das Verständnis der ISO® 27001-Controls ermöglicht es Ihnen, die Sicherheitsstruktur und -ausrichtung Ihrer Sicherheitsstruktur auf verschiedene Weise zu verbessern. Diese Controls bilden einen umfassenden Rahmen für das Informationssicherheitsmanagement und gewährleisten, dass kritische Sicherheitsaspekte berücksichtigt werden. 

Durch die Einhaltung der ISO® 27001-Controls können Sie potenzielle Risiken anhand eines risikobasierten Ansatzes erkennen und abmildern und proaktiv Sicherheitsmaßnahmen einführen. Die Einhaltung dieser international anerkannten Controls erhöht die Glaubwürdigkeit und Vertrauenswürdigkeit Ihres Unternehmens, da sie mit den Branchenstandards und -vorschriften übereinstimmen. 

Darüber hinaus lenkt ISO® 27001 den Fokus auf den Schutz vitaler Informationsbestände, die Rationalisierung von Sicherheitsabläufen und die Förderung einer Kultur der kontinuierlichen Verbesserung.

Schadensvermeidung und -minderung

Die Einhaltung der ISO® 27001-Controls ermöglicht es Ihnen, Risiken und Schwachstellen in Ihren Organisationen zu erkennen, proaktiv Sicherheitsmaßnahmen zu implementieren und robuste Reaktions- und Notfallpläne zu entwickeln. Dies hat praktische Anwendungen in realen Szenarien, wo Organisationen können:

• Verhinderung von Datenverstößen: Es hilft Ihnen, potenzielle Schwachstellen in ihren Informationssicherheitssystemen zu erkennen und zu beseitigen.

• Minimierung finanzieller Verluste: Durch die Minderung von Sicherheitsrisiken und die Verhinderung von Zwischenfällen können Sie finanzielle Verluste im Zusammenhang mit Datenschutzverletzungen, rechtliche Verpflichtungen und Rufschädigung vermeiden.

• Rasche Reaktion auf Zwischenfälle: Mit gut definierten Plänen zur Reaktion auf Vorfälle können Sie schnell und effektiv auf Sicherheitsvorfälle reagieren.

• Geschäftskontinuität: Sie stellt sicher, dass der Betrieb auch bei Sicherheitsvorfällen, Unterbrechungen oder Katastrophen aufrechterhalten werden kann.

• Kontinuierliche Verbesserung: Der Rahmen fördert eine Kultur der kontinuierlichen Verbesserung, die Unternehmen dazu veranlasst, ihre Sicherheitsmaßnahmen zu verfeinern, wenn neue Bedrohungen und Technologien auftauchen.

Sie erfüllen verschiedene geschäftliche, rechtliche und behördliche Anforderungen

Mit ISO® 27001 können Unternehmen zwei Fliegen mit einer Klappe schlagen, indem sie die Informationssicherheit und die Einhaltung von Compliance auf rationale Weise erreichen.

Erstens bietet die ISO® 27001-Zertifizierung eine einzigartige Möglichkeit für Organisationen, verschiedene Vorschriften und Anforderungen effektiv zu erfüllen. Durch die Einführung von ISO® 27001-Controls können Unternehmen sowohl Compliance im Bereich Informationssicherheit erreichen als auch andere Vorgaben wie den Sarbanes-Oxley Act (SOX), NIST CSF (Cybersecurity Framework) und GDPR/DSGVO erfüllen.

Zweitens lassen sich die ISO® 27001-Controls an spezifische Geschäftsanforderungen und Sicherheitsherausforderungen anpassen. Durch maßgeschneiderte Implementierungen stellen Unternehmen sicher, dass ihre Sicherheitsmaßnahmen mit den individuellen Anforderungen, den Geschäftszielen und der Risikobereitschaft übereinstimmen. 

ISO® 27001 wird von verschiedenen Organisationen genutzt

ISO® 27001 ist ein vielseitiger Standard, der auf eine Vielzahl von Organisationen anwendbar ist, unabhängig von deren Größe, Branche oder IT/Nicht-IT-Charakter. 

Sie gewährleistet nicht nur die Informationssicherheit, sondern dient auch als wertvolles Unterscheidungsmerkmal für Unternehmen, die Wachstum und neue Möglichkeiten suchen. ISO® 27001 ist erforderlich für:

Organisationen mit sensiblen Informationen, unabhängig von Größe und Branche

ISO® 27001 gilt für Organisationen aller Größen und Branchen, die mit sensiblen Informationen umgehen. Dazu gehören Finanzinstitute, Gesundheitsdienstleister, Regierungsbehörden, Bildungseinrichtungen und Unternehmen, die mit Kundendaten arbeiten. Die Umsetzung von ISO® 27001 trägt zum Schutz dieser wertvollen Daten bei und gewährleistet Vertraulichkeit, Integrität und Verfügbarkeit.

Organisationen, die ihr Geschäft ausbauen und neue Kunden suchen

Die Zertifizierung nach ISO® 27001 kann für Organisationen, die ihr Geschäft ausbauen und neue Kunden gewinnen wollen, einen Wettbewerbsvorteil darstellen. Viele Kunden und Partner ziehen es vor, mit Unternehmen zusammenzuarbeiten, die der Informationssicherheit Priorität einräumen. Eine ISO® 27001-Zertifizierung zeigt, dass man sich für den Schutz sensibler Daten einsetzt, und verschafft Unternehmen einen Vorteil gegenüber der Konkurrenz.

Auftragnehmer, die ISO® 27001-compliant sein müssen, um Projekte zu bewerten

Für bestimmte Verträge und Projekte, insbesondere solche, die sensible Daten oder staatliche Stellen betreffen, kann die Compliance mit ISO® 27001 eine Voraussetzung sein. Kunden können darauf bestehen, dass ihre Auftragnehmer solide Verfahren zur Informationssicherheit anwenden. Die Compliance mit ISO® 27001 erhöht die Chancen, solche Projekte zu gewinnen und das Vertrauen der Kunden zu gewinnen.

Die 2022 ISO® 27001-Controls

ISO®27001:2022 ist die neueste Version der ISO®/IEC 27001-Norm für Informationssicherheitsmanagement, die Organisationen dabei helfen soll, ihre Daten und Vermögenswerte vor Cyber-Bedrohungen zu schützen. Die Änderungen in dieser Version sind größtenteils kosmetischer Natur, einschließlich der Umstrukturierung und Verfeinerung bestehender Anforderungen.

Die neue Version verfügt über 93 Controls, darunter 11 neue. 24 Controls wurden zusammengelegt, und 58 Controls wurden überarbeitet, um sie an die aktuellen Anforderungen an die Cyber- und Informationssicherheit anzupassen.

Während die zentralen Managementprozesse des ISMS unverändert bleiben, wurde der Control-Satz in Anhang A überarbeitet, um den aktuellen Risiken und den entsprechenden Controls Rechnung zu tragen.

Die Controls werden nun in vier Gruppen eingeteilt: 

• Organizational

• People

• Physical

• Technological

Zu jedem Control gibt es jetzt eine Taxonomie für die Zuordnung.

Attribute

Mit der Aktualisierung der ISO® 27001:2022 wird auch eine neue Struktur für Sicherheitskontrollen eingeführt, die aus fünf Attributkategorien besteht:

• Control types: Preventive, Detective, and Corrective.

• Cybersecurity concepts: Identify, Protect, Detect, etc.

• Security domains: Governance and Ecosystem, Protection, Defense, etc.

• Properties of information security: Confidentiality, Integrity, and Availability.

• Operational capabilities: Governance, Asset Management, Information Protection, etc.

Diese fünf Attribute weisen jeder Sicherheitsmaßnahme / Control einen oder mehrere Werte zu. Der Zweck dieser Änderung ist es, die Gruppierung und Sortierung von Controls zu verbessern, so dass es für die Benutzer einfacher wird, die relevanten Controls auf der Grundlage ihrer spezifischen Bedürfnisse zu finden. 

Wenn Sie beispielsweise an der Implementierung von Controls im Zusammenhang mit der Unternehmensführung interessiert sind, können Sie die Controls einfach nach diesem Attribut filtern und auf eine Liste mit relevanten Controls zugreifen, aus der Sie auswählen können.

Lassen Sie uns nun die einzelnen Controls und ihre praktischen Anwendungen näher betrachten:

Organizational (37 Controls)

Die in ISO 27001 Anhang A 5.1 bis 5.37 kategorisierten organisatorischen Controls decken verschiedene Aspekte des Datenschutzes ab und regeln den Gesamtansatz einer Organisation. Sie bestehen unter anderem aus Richtlinien, Regeln, Prozessen, Verfahren und Organisationsstrukturen.

Neue Controls sind enthalten: 

• 5.7: Threat Intelligence

• 5.23: Information security for use of cloud services 

• 5.30: ICT readiness for business continuity 

Bedrohungsdaten sind in diesem Zusammenhang eine wertvolle Ergänzung zum Control. Es geht über die bloße Identifizierung bösartiger Domainnamen hinaus und hilft Unternehmen, ein tieferes Verständnis für potenzielle Angriffsmethoden zu erlangen. Durch die Nutzung dieser Informationen über Bedrohungen können Unternehmen ihren Ansatz für die Informationssicherheit verbessern und fundiertere Entscheidungen treffen.

Praktische Anwendung:

• Erkennen von Mustern und Trends bei Cyber-Bedrohungen, um sich proaktiv vor potenziellen Angriffen zu schützen.

• Tauschen Sie Bedrohungsdaten mit anderen Organisationen aus, um eine gemeinsame Abwehr gegen gemeinsame Bedrohungen zu schaffen.

• Nutzen Sie Bedrohungsdaten, um Prioritäten bei den Sicherheitsmaßnahmen zu setzen und Ressourcen effektiv zuzuweisen.

• Kontinuierliche Überwachung und Aktualisierung der Bedrohungsdaten, um neuen Bedrohungen immer einen Schritt voraus zu sein.

People (8 Controls)

ISO 27001 Anhang A 6.1 bis 6.8 umfasst die Personenkontrollen. Sie spielen eine entscheidende Rolle, wenn es darum geht, Unternehmen bei der Verwaltung des menschlichen Elements ihres Informationssicherheitsprogramms zu unterstützen, einschließlich der Prozesse für das Onboarding und Offboarding sowie der Verantwortlichkeiten für die Meldung von Vorfällen. Sie legen Richtlinien für den Umgang der Mitarbeiter mit Daten und untereinander fest. 

Dieses Thema befasst sich mit der praktischen Anwendung von Fernarbeit, Vertraulichkeit, Geheimhaltung und Screening, um den Umgang der Mitarbeiter mit sensiblen Informationen in ihrer täglichen Arbeit effektiv zu steuern.

Es ist erwähnenswert, dass ISO 27001:2022 keine neuen Controls einführt, die sich speziell auf dieses Thema beziehen. Dennoch können Unternehmen die bestehenden Controls nutzen, um den sicheren Umgang mit sensiblen Informationen in entfernten Arbeitsumgebungen zu gewährleisten.

Physical (14 Controls)

Unter den Nummern 7.1 bis 7.13 des ISO 27001-Anhangs A beziehen sich die physischen Controls auf Schutzmaßnahmen, die zur Gewährleistung der Sicherheit von materiellen Gütern ergriffen werden. Diese Schutzmaßnahmen können Zugangssysteme, Protokolle für die Gewährung von Gastzugang, Verfahren für die Entsorgung von Vermögenswerten, Protokolle für die Speicherung sensibler Daten und Richtlinien für die Freihaltung von Arbeitsbereichen von vertraulichen Informationen umfassen. Diese Maßnahmen sind entscheidend für die Wahrung der Vertraulichkeit wichtiger Daten.

In dieser Kategorie geht es speziell um Maßnahmen zum Schutz vor physischen und ökologischen Risiken, einschließlich Naturkatastrophen, Diebstahl und vorsätzlicher Beschädigung. Eine der neuen Ergänzungen zu den physischen Controls ist 7.4, die sich auf die Überwachung der physischen Sicherheit bezieht. Dazu gehört der Einsatz von Überwachungssystemen, Zugangskontrollen und Sicherheitspersonal zur Überwachung und zum Schutz von Sachwerten, um die Sicherheit und Integrität der Umgebung zu gewährleisten. 

Durch die aktive Überwachung auf unbefugten Zugriff, verdächtige Aktivitäten oder potenzielle Sicherheitsverletzungen können Unternehmen proaktiv auf Bedrohungen reagieren und Risiken in Echtzeit minimieren. Dies trägt dazu bei, eine sichere und geschützte physische Umgebung aufrechtzuerhalten und die Gefahr von Schäden oder Verlusten aufgrund externer Bedrohungen zu minimieren.

Technological (34 Controls)

In Anhang A 8.1 bis 8.34 der ISO-Norm 27001 werden die Vorschriften und Prozesse definiert, die Unternehmen befolgen sollten, um eine sichere und konforme IT-Infrastruktur aufzubauen. Sie umfasst Authentifizierung, Verschlüsselung und die Verhinderung von Datenverlusten. Dazu gehören die Implementierung von Authentifizierungsmethoden, die Konfiguration von Einstellungen, die Entwicklung von BUDR-Strategien und die Pflege von Informationsprotokollen.

Zu den neuen technologischen Controls gehören:

• 8.1: Implementation of data masking 

• 8.9: Management of configurations 

• 8.10: Deletion of information 

• 8.12: Prevention of data leakage 

• 8.16: Monitoring of activities 

• 8.23: Application of web filtering

• 8.28: Adoption of secure coding practices

Die Verhinderung von Datenlecks ist eine wichtige Ergänzung zu dieser Kategorie und erfordert erhebliche zeitliche und finanzielle Investitionen für die erste Implementierung. 

Eine weiteres bemerkenswertes Control ist die Webfilterung, die beschreibt, wie Organisationen den Webverkehr filtern sollten, um zu verhindern, dass Benutzer auf bösartige Websites zugreifen.

Fazit

ISO® 27001-Controls sind eine wichtige Komponente des Informationssicherheitsmanagements und bieten einen strukturierten Ansatz zum Schutz wertvoller Daten und zur Gewährleistung der Geschäftskontinuität. Und für kleine und mittlere Unternehmen, die versuchen, die Feinheiten des Informationssicherheitsmanagements zu verstehen und die ISO® 27001-Zertifizierung zu erreichen, istISMS Connect die Lösung.

Mit ISMS Connect können kleine und mittelständische Unternehmen eine Zertifizierung anstreben und sicherstellen, dass ihre Informationssicherheitspraktiken mit Hilfe von Leitfäden, Vorlagen, Expertenunterstützung und einer aktiven Community den höchsten Standards entsprechen.

Melden Sie sich noch heute an und legen Sie los!