Bereits 2003 hat MSH ein Informationssicherheits-Managementsystem nach dem damaligen Standard BS 7799 eingeführt. Seit 2006 ist das Unternehmen durchgängig nach ISO/IEC 27001 zertifiziert – als eine der ersten Organisationen in Deutschland. Heute erfüllt unser ISMS die Anforderungen der aktuellen Norm ISO/IEC 27001:2022 und steht damit für höchste Standards in der Informationssicherheit.
Mit der Veröffentlichung der ISO/IEC 27001:2022 wurde einer der weltweit wichtigsten Standards für Informationssicherheits-Managementsysteme (ISMS) umfassend überarbeitet. Die aktualisierte Version reagiert auf die gewachsenen Anforderungen in der digitalen Welt und unterstützt Unternehmen noch gezielter dabei, ihre Informationssicherheit effektiv zu steuern und an aktuelle Bedrohungslagen anzupassen.
Die wesentlichen Änderungen gegenüber der Version von 2013 sind zum einen die Überarbeitung der Sicherheitsmaßnahmen (Controls): Die ehemals 114 Sicherheitsmaßnahmen wurden konsolidiert, überarbeitet und neu strukturiert – nun in 93 Maßnahmen zusammengefasst. Dabei wurden auch 11 neue Maßnahmen eingeführt, etwa zu den Themen Cloud Security, Threat Intelligence, Data Masking, Monitoring-Aktivitäten und physische Sicherheit.
Die Controls sind nun in vier übersichtliche Themenkategorien gegliedert:
- Organisatorische Maßnahmen (37)
- Personenbezogene Maßnahmen (8)
- Physische Maßnahmen (14)
- Technologische Maßnahmen (34)
Diese neue Gliederung erleichtert die Umsetzung im Unternehmen und schafft mehr Transparenz.
Die Norm wurde sprachlich aktualisiert, um mit anderen Managementsystem-Normen wie ISO 9001 oder ISO 22301 kompatibel zu sein. Begriffe wurden präzisiert und der Standard somit klarer und anwenderfreundlicher gestaltet.
Die überarbeitete Norm legt einen stärkeren Fokus auf die Integration des ISMS in bestehende Unternehmensprozesse und ermöglicht eine gezieltere Steuerung von Informationsrisiken – insbesondere im Hinblick auf aktuelle Cyberbedrohungen und regulatorische Anforderungen. Unter anderem hat die DQS dem Annex A14 Betriebsprozesse zugeordnet, die die Auswahl an geeigneten Risikobehandlungsmaßnahmen erleichtern, neben der „reinen“ ereignisgesteuerten Risikoanalyse auch eine zusätzliche Perspektive auf prozessuale Schwachstellen liefern sowie die Wechselwirkung von Prozessen greifbarer darstellen
Fazit: Zukunftssichere Informationssicherheit
Mit dem Wechsel auf ISO/IEC 27001:2022 zeigen wir nicht nur regulatorische Konformität, sondern auch Innovationskraft und Sicherheitsbewusstsein. Die neue Version sorgt für mehr Klarheit, bessere Steuerung und eine höhere Relevanz im digitalen Zeitalter.
