Alle 14 Tage aktuelle News aus der IT-Szene   >   
Crayon und Intact gehen Partnerschaft ein 08. 02. 2023
Mit dem norwegischen Technologiedienstleister Crayon will das österreichische Softwareunternehmen Intact die Entwicklung seiner KI-Lösungen weiter vorantreiben.
Hochverfügbare Datennetzwerke mit Power-over-Ethernet 06. 02. 2023
Der kompakte PoE-Gigabit-Switch Lynx 3510 von Westermo eignet sich für Netzwerke mit hohen Datenmengen und Bandbreiten.
Spatenstich am neuen x-tention-Campus in Wels 03. 02. 2023
Baubeginn des neuen Headquarters der Unternehmensgruppe, das Platz für 350 Mitarbeiterinnen und Mitarbeiter bieten soll.
OpenText kauft Micro Focus 02. 02. 2023
Die zwei Big Player in der Tech-Branche wachsen zu einem Kaufpreis von rund 5,8 Milliarden US-Dollar zusammen.
Ingram Micro erweitert Cybersecurity-Portfolio mit Okta 01. 02. 2023
Der Spezialist für Identitätsmanagement ergänzt das Angebot für Cloud-basierte Sicherheitssysteme.
it-sa und secIT vereinbaren Partnerschaft 01. 02. 2023
Die Sicherheitsmessen kooperieren künftig inhaltlich und beim Marketing.
Netural bündelt Digitalisierungsangebot in neuem Geschäftsbereich 31. 01. 2023
Die Digitalisierungsprofis der Linzer Digital Services-Agentur begleiten mittelständische und große Firmen durch den gesamten Prozess der digitalen Transformation.
Nachfrage am IT-Jobmarkt unverändert hoch 30. 01. 2023
Besonders gefragt waren im vergangenen Quartal Security-Spezialisten sowie IT-Architekten und -Supporter.
Sensor für „explosive“ Umgebungen 25. 01. 2023
Watteco präsentiert eine batteriebetriebene, drahtlose LoRaWAN-Mehrzweck-Überwachungslösung mit ATEX-Zertifizierung.
Boll expandiert nach Österreich 25. 01. 2023
Irene Marx leitet die neue Wiener Niederlassung des auf IT-Security spezialisierten Value Added Distributors
Ö-Cloud-Gütesiegel für eww ITandTEL 24. 01. 2023
Der Welser IT-Dienstleister konnte das strenge Audit erfolgreich absolvieren und darf sich ab sofort mit dem Zertifikat des heimischen Sicherheitsverbunds Ö-Cloud schmücken.
ERP-Systeme und -Anbieter im Vergleich 23. 01. 2023
Das ERP Booklet 2023 unterstützt Unternehmen quer durch alle Branchen bei der Suche nach dem passenden ERP-System.
Ingram Micro startet neue Kundenplattform in Österreich 16. 01. 2023
Xvantage for Customers ist Shop, Marketplace, Infoportal und herstellerübergreifende Content-Plattform in einem.
Die IT zum Glänzen bringen 13. 01. 2023
Der Wiener IT-Dienstleister MP2 startete unter dem Motto „letITshine“ ins neue Jahr.
Herausragende Services für Dokumentenverarbeitung 12. 01. 2023
Konica Minoltas Hybrid Work-Plattform Workplace Pure wurde mit dem BLI Pick Award 2023 ausgezeichnet.
door2solution wird Teil von Docufy 11. 01. 2023
Docufy erweitert seine Software-Suite durch den Zukauf um Lösungen für industrielles Ersatzteilmanagement.
Phoenix Contact übernimmt iS5 Communications 09. 01. 2023
Lösungen für Infrastrukturnetzwerke werden ausgebaut.
Austro Control baut Virtual Data Center weiter aus 19. 12. 2022
Frequentis liefert IT-basiertes Sprachkommunikationssystem für den Tower Schwechat.
weiter
ISO/IEC 27001:2022

Update für Security-Norm

Gastbeitrag: Nach fast zehn Jahren wurde der international anerkannte Standard für Informationssicherheit – die ISO/IEC 27001 – überarbeitet. Welche Änderungen die Revision mit sich bringt und welche Fristen zu beachten sind, erklärt CIS-Geschäftsführer Klaus Veselko.

Foto: Weinwurm Klaus Veselko ist Geschäftsführer des staatlich akkreditierten Zertifizierungspartners Certification & Information Security Services (CIS) Die ISO/IEC 27001 ist die wichtigste internationale Norm für Informationssicherheit. Sie unterstützt Organisationen dabei, Informationssicherheitsmaßnahmen zu erarbeiten, zu implementieren sowie laufend zu verbessern. Die Norm deckt präventive Maßnahmen ab, um Informationen und Daten zu schützen. Auch reaktive Maßnahmen, um konkrete Sicherheitsvorfälle im Ernstfall bestmöglich abzufedern, sind in der Norm enthalten.

Im Oktober 2022 wurde die neue Version der ISO/IEC 27001 von der ISO (International Organization for Standardization) veröffentlicht. Nach der letzten Revision im Jahr 2013 war eine Überarbeitung des Standards längst überfällig. Besonders seit dem rasanten Digitalisierungsanstieg in Betrieben hat sich auch die Bedrohungslage branchenunabhängig zugespitzt. Cyberattacken wurden und werden zunehmend professionalisiert. Entsprechende Sicherheitsmaßnahmen schnell umzusetzen, ist also essentiell. Eine Zertifizierung nach ISO/IEC 27001 entspricht dem aktuellsten, international anerkannten Stand der Technik und stellt Informationssicherheit auf mehreren Ebenen sicher.

Neuerungen der Revision der ISO/IEC 27001:2022

Während die ISO/IEC 27001:2013 unter den Namen „Informationstechnik – Sicherheitsverfahren – Informationssicherheits-Managementsysteme – Anforderungen“ veröffentlicht wurde, trägt die neue Version den Titel „Informationssicherheit, Cybersicherheit und Datenschutz – Informationssicherheits-Managementsysteme – Anforderungen“. Statt dem alleinigen Fokus auf Informationssicherheit bekommen nun auch die Themen Cybersicherheit und Datenschutz einen höheren Stellenwert in der Normenwelt und somit eine gewichtigere Rolle in Unternehmen. Die Grenzen zwischen den unterschiedlichen Themen verschwimmen zunehmend, sodass eine vernetzte Betrachtung im Sinne einer ‚Security of Everything‘-Mentalität notwendig ist.

Themenbereiche und Maßnahmen Foto: Roman/Pixabay Die internationale Norm für Informationssicherheit ISO/IEC 27001 beinhaltet sowohl präventive Maßnahmen zum Schutz von Informationen und Daten, als auch reaktive Maßnahmen, um konkrete Sicherheitsvorfälle im Ernstfall bestmöglich abzufedern

Die neue Version ist in vier praxisnahe Themenbereiche strukturiert (organisatorisch, personell, physisch und technisch). Nach diesen vier Themenbereichen sind auch die entsprechenden Maßnahmen (engl. Controls) für Informationssicherheit gruppiert – die 114 Maßnahmen der früheren Version aus 2013 wurden nun auf 93 reduziert und gänzlich neu strukturiert. Von bisher 114 Maßnahmen ist eine einzige Maßnahme weggefallen (Removal of assets), andere Maßnahmen wurden – u. a. zum Zweck der besseren Übersichtlichkeit – hingegen zu inhaltlich ähnlichen Themen zusammengefasst. Jede dieser 93 Maßnahmen ist aktuell wiederum mit fünf Attributen verknüpft (Art der Maßnahme, Schutzziel, Sicherheitskonzept etc.), welche die Security-Teams in der Praxis unterstützen sollen.

Dies soll für eine bessere Einstufung der Maßnahmen und somit mehr Praxisorientierung und Verständlichkeit in der Umsetzung sorgen. Betriebe können so ihre Sicherheitsmaßnahmen zielgenauer gruppieren und unterschiedliche Sichtweisen auf die Maßnahmen erhalten. Die Maßnahmen für Informationssicherheit, wie sie im Anhang A der ISO/IEC 27001:2022 definiert sind, finden sich auch in der ISO/IEC 27002 wieder. Dort werden sie nicht nur generell angeführt, sondern detailliert als Implementierungsleitfaden beschrieben.

Zeitlicher Ablauf und Fristen

Betriebe, die ihr Managementsystem nach ISO/IEC 27001:2013 zertifiziert haben, müssen dieses bis Ende Oktober 2025 auf die neue Version umstellen, da zu diesem Zeitpunkt die festgelegte dreijährige Übergangsfrist endet und Zertifikate nach dem alten Standard ab dann ihre Gültigkeit verlieren. CIS wird ab Anfang 2023 Neu- und Erstzertifizierungen nach der Version ISO/IEC 27001:2022 durchführen bzw. anbieten. Bei Überwachungs- oder Re-Zertifizierungsaudits kann laufend auf den neuen Standard umgestellt werden.

Proaktive Vorbereitung als Um und Auf

Betriebe, die sich bereits strukturiert mit Informationssicherheit beschäftigen, brauchen keine fundamentalen Veränderungen ihres Informationssicherheitsmanagementsystems zu befürchten. Es ist jedoch unerlässlich, sich über die bevorstehenden Änderungen und deren Auswirkungen auf die individuelle Geschäftspraxis bewusst zu werden. CIS bietet seit Anfang 2022 Update-Trainings inklusive praktischen Umsetzungshinweisen an. Prozesse, Richtlinien und Werkzeuge sollten generell laufend hinsichtlich der drei Schutzziele Vertraulichkeit, Verfügbarkeit und Integrität reflektiert werden, um weiterhin der sich ständig verändernden Bedrohungslage und dem Stand der Technik Rechnung zu tragen.


Link: www.cis-cert.com

it&t business medien OG
Tel.: +43/1/369 80 67-0
office@ittbusiness.at