Compliance

Die neue ISO 27001:2022

Die neue ISO 27001:2022 Norm umfasst in der ISO 27002:2022 nunmehr 93 Kontrollen, welche in 4 Überkapitel unterteilt sind. Die bis dato aktuelle Version ISO 27001:2022 enthält 114 Kontrollen und 14 Überkapitel.

Jede Kontrolle ist zukünftig mit 5 Attributen hinterlegt:

Kategorisierung: präventiv, detektivisch, korrigierend
Merkmale der Informationssicherheit: Vertraulichkeit, Integrität, Verfügbarkeit (CIA);
Cybersicherheitskonzepte: Identität, Schutz, Identifizierung, Reaktion, Wiederherstellung;
Operative Fähigkeiten: Governance, Vermögensverwaltung, Informationssicherheit, Sicherheit der Humanressourcen, usw.
Sicherheitsbereiche: Governance, Schutz, Widerstandsfähigkeit.

Die neue Norm ISO 27001:2022 führt darüberhinaus neue Kontrollen ein, darunter:

Identitätsmanagement
Löschung von Informationen
Maskierung von Daten
...
...

Was ist der grundsätzliche Unterschied zwischen ISO 27001 und ISO 27002?

Organisationen können sich nach der ISO 27001 zertifizieren und damit von externer Stelle ihre Konformität mit dem Standard bestätigen lassen. Die ISO 27001 bietet also einen Rahmen für das (zertifizierbare) Informationssicherheitsmanagementsystem.

Die ISO 27002 hingegen enthält konkrete Richtlinien für die praktische Umsetzung, einschließlich der Implementierung und Verwaltung von Kontrollen, unter Berücksichtigung der individuellen Informationssicherheitsrisiken.

Kontaktieren Sie mich gerne, wenn sie weitergehende Fragen zu den Normen und zu Möglichkeiten der Umsetzung wirkungsvoller Informationssicherheit in ihrer Organisation haben.

Weiterlesen

Digitale Kolonie Europa: Was Unternehmen jetzt konkret tun können

Beim E-Day der Wirtschaftskammer Österreich stand digitale Souveränität nicht im Nebenprogramm, sondern auf der Hauptbühne. Für alle, die das Thema bislang als Nischenanliegen von Datenschützern abgetan haben, ist das ein Signal: Die organisierte Unternehmerschaft Österreichs hat erkannt, dass Cloud-Abhängigkeit kein technisches Detail ist, sondern ein strategisches Unternehmensrisiko. Höchste Zeit, daraus

Robotik, KI und die nächste industrielle Dekade

Prof. Dominik Bösl, Informatiker, ehemaliger Industrie-Insider bei Siemens, Microsoft, KUKA und Festo, heute Professor an der Hochschule der Bayerischen Wirtschaft, hat beim diesjährigen #EDAY26 der Wirtschaftskammer Österreich eine Keynote gehalten, die erfrischend nüchtern war. Kein Weltuntergang, kein blinder Optimismus, sondern der Versuch, Technologieentwicklung realistisch einzuordnen. Das verdient Aufmerksamkeit, gerade weil

KI-Verordnung trifft digitale Souveränität: Europas Chancen sind vorhanden

Die Diskussion rund um die Umsetzung der KI-Verordnung gewinnt an Reife. Wo vor einem Jahr noch Verunsicherung dominierte, zeichnen sich heute konkrete Lösungswege ab. Die finale Podiumsdiskussion auf der Prisec Germany von Business Circle mit Vertretern aus Aufsicht, Industrie und Cloud-Anbietern hat gezeigt, wie viel Bewegung in der Debatte steckt

Das Third Party Risk Management des CRA ist mehr als nur ein Compliance Thema

Erkenntnisse aus einem Expertenpanel zur Praxis des CRA und zum Third Party Risk Management Der Cyber Resilience Act (CRA, Verordnung (EU) 2024/2847) wird oft als reines Compliance-Pflichtprogramm wahrgenommen. Eine neue Bürde im ohnehin dichten Regulierungsdschungel zwischen NIS2, DORA und DSGVO. Ein Panel im Rahmen der Prisec Germany mit erfahrenen