Was ist die Norm ISO/IEC 27001:2022?
Die ISO (International Organization for Standardization) ist eine unabhängige, nichtstaatliche internationale Organisation, der 170 nationale Normungsorganisationen angehören. ISO/IEC 27001 wird gemeinsam von der ISO und der Internationalen Elektrotechnischen Kommission (IEC) herausgegeben und ist die weltweit bekannteste Norm für Informationssicherheits-Managementsysteme (ISMS). Die Norm ISO/IEC 27001 bietet allen Unternehmen Richtlinien für die Einrichtung, Umsetzung, Aufrechterhaltung und kontinuierliche Verbesserung von Managementsystemen für die Informationssicherheit.
Die ISO-Normen werden von Experten für Cyber-Sicherheit international vereinbart und sind weltweit anerkannt. Die ISO-Zertifizierung ist für Unternehmen in allen Wirtschaftsbereichen möglich (alle Arten von Dienstleistungen und Produktion sowie der Primärsektor; private, öffentliche und gemeinnützige Organisationen).
Die Konformität mit ISO/IEC 27001 bedeutet, dass eine Organisation oder ein Unternehmen ein System zum Management von Risiken im Zusammenhang mit der Sicherheit von Daten, die sich im Besitz der Organisation bzw. des Unternehmens befinden oder von ihr/ihm verarbeitet werden, eingerichtet hat und dass dieses System alle in dieser internationalen Norm verankerten bewährten Praktiken und Grundsätze anwendet.
Verordnung | Jetzt aktiv
DORA ist in fünf Säulen gegliedert, von denen jede einzelne dazu dient, bestimmte Aspekte der digitalen operationalen Resilienz von Finanzdienstleistungen zu stärken.
- IKT-Risikomanagement und -Governance: DORA überträgt der Geschäftsleitung und den Vorstandsmitgliedern die Verantwortung für die Festlegung, Umsetzung und Aufrechterhaltung eines Rahmens für das IKT-Risikomanagement, um wirksam für eine größere digitale operationale Resilienz zu sorgen. DORA schreibt vor, dass Finanzinstitute über einen internen Verwaltungs- und Kontrollrahmen verfügen müssen, der ein wirksames und umsichtiges Management von IKT-Risiken gewährleistet.
- Meldung von Vorfällen: Finanzdienstleister müssen Systeme zur Überwachung, Verwaltung, Protokollierung, Klassifizierung und Meldung von IKT-bezogenen Vorfällen einrichten, um Angriffe zu bewerten, die Auswirkungen auf Kunden und Betrieb zu mindern und den Behörden zu melden.
- Prüfung der digitalen operationalen Resilienz: Die Finanzinstitute müssen jährlich ein umfassendes Programm zur Prüfung der digitalen operationalen Resilienz einführen und durchführen. DORA legt außerdem fest, dass Finanzinstitute gegebenenfalls die Einbeziehung von IKT-Drittanbietern in ihre Tests zur digitalen operationalen Resilienz sicherstellen müssen.
- IKT-Drittparteienrisiko: Einer der Hauptschwerpunkte von DORA ist das IKT-Drittparteienrisiko und seine Rolle bei der Risikominderung. Finanzinstitute sind in hohem Maße auf externe IKT-Anbieter angewiesen, die sich möglicherweise außerhalb der EU befinden, wie z. B. verschiedene Cloud-Anbieter. Folglich müssen Finanzinstitute das IKT-Drittparteienrisiko als integralen Bestandteil in ihr IKT-Risikomanagement einbeziehen.
- Informationsaustausch: DORA fördert zudem den freiwilligen Austausch von Informationen über Cyberbedrohungen und Erkenntnisse, um die digitale operationale Resilienz der Branche zu verbessern.
Die ISO-Normen werden von Experten für Cyber-Sicherheit international vereinbart und sind weltweit anerkannt. Die ISO-Zertifizierung ist für Unternehmen in allen Wirtschaftsbereichen möglich (alle Arten von Dienstleistungen und Produktion sowie der Primärsektor; private, öffentliche und gemeinnützige Organisationen).
ISO/IEC 27001 ist eine internationale Norm, deren Nichteinhaltung nicht geahndet wird. Die Zertifizierung nach ISO/IEC 27001:2022 kann jedoch im Falle einer Datenschutzverletzung einen Schutz vor Geldbußen aufgrund von Vorschriften wie der DSGVO bieten, indem sie die Bemühungen eines Unternehmens um die Umsetzung bewährter Verfahren im Bereich der Informationssicherheit nachweist.
Während ISO/IEC 27001 die Anforderungen für die Einrichtung eines ISMS festlegt, liefert ISO/IEC 27002 die detaillierten Best Practices und Kontrollen, die im Rahmen des ISMS angewendet werden können. Der Hauptunterschied besteht darin, dass ISO/IEC 27001 eine Norm ist, nach der sich Unternehmen zertifizieren lassen können, während ISO/IEC 27002 keine Norm ist. Die Anforderungen in der nachstehenden Tabelle sind sowohl in ISO 27001 als auch in ISO 27002 aufgeführt.
So unterstützt Thales die Einhaltung von ISO/IEC 27001:2022
Thales unterstützt Unternehmen bei der Einhaltung von ISO/IEC 27001:2022, indem es die in Anhang A für Informationssicherheitskontrollen aufgeführten wesentlichen Anforderungen erfüllt. Wir bieten umfassende Cyber-Sicherheitslösungen in drei Schlüsselbereichen der Cyber-Sicherheit: Anwendungssicherheit, Datensicherheit sowie Identitäts- und Zugriffsverwaltung.
Lösungen zur Einhaltung von ISO/IEC 27001:2022
Unterstützte ISO-Anforderungen: 8. Technologische Kontrollen
Schützen Sie Anwendungen und APIs in großem Umfang in der Cloud, lokal oder in einem Hybridmodell. Unsere marktführende Produktpalette umfasst den Schutz vor DDoS-Angriffen (Distributed Denial of Service) und schädlichen BOT-Angriffen per Web Application Firewall (WAF), Sicherheit für APIs, ein sicheres Content Delivery Network (CDN) und Runtime Application Self-Protection (RASP).
Unterstützte ISO-Anforderungen: 5. Organisatorische Kontrollen und 8. Technologische Kontrollen
Erkennen und klassifizieren Sie sensible Daten in der gesamten hybriden IT und schützen Sie sie automatisch an jedem Ort, ob at Rest, in Motion oder in Use, mithilfe von Verschlüsselung, Tokenisierung und Schlüsselverwaltung. Darüber hinaus identifizieren, bewerten und priorisieren die Lösungen von Thales potenzielle Risiken für eine genaue Risikobewertung. Darüber hinaus identifizieren sie anomales Verhalten und überwachen Aktivitäten, um potenzielle Bedrohungen zu erkennen und die Einhaltung von Vorschriften zu überprüfen, sodass Unternehmen den Einsatz ihrer Ressourcen priorisieren können.
Unterstützte ISO-Anforderungen: 5. Organisatorische Kontrollen, 6 Personalkontrollen, 7 Physische Kontrollen und 8. Technologische Kontrollen
Bieten Sie Kunden, Mitarbeitern und Partnern einen nahtlosen, sicheren und zuverlässigen Zugriff auf Anwendungen und digitale Dienste. Unsere Lösungen beschränken den Zugriff interner und externer Benutzer basierend auf ihren Rollen und ihrem Kontext mit detaillierten Richtlinien für den Zugriff und Multi-Faktor-Authentifizierung, um sicherzustellen, dass der richtige Benutzer zur richtigen Zeit Zugriff auf die richtige Ressource erhält.
E-Book
Einhaltung der Norm ISO 27001 für Informationssicherheit, Cyber-Sicherheit und Schutz der Privatsphäre
Lesen Sie unser ausführliches E-Book, um zu erfahren, wie Thales Sie bei der Einhaltung der Anforderungen von ISO 27001 unterstützen kann.
Weitere Ressourcen
Weitere wichtige Datenschutz- und Sicherheitsverordnungen
PCI HSM
MANDAT | JETZT AKTIV
Die PCI-HSM-Spezifikation definiert eine Reihe von logischen und physischen Sicherheitsstandards für HSMs speziell für die Zahlungsindustrie. Die PCI-HSM-Konformitätszertifizierung setzt die Einhaltung dieser Standards voraus.
DORA
VERORDNUNG | JETZT AKTIV
DORA hat zum Ziel, die IT-Sicherheit von Finanzinstituten zu stärken, um sicherzustellen, dass der Finanzsektor in Europa angesichts des zunehmenden Umfangs und der Schwere von Cyber-Angriffen widerstandsfähig ist.
Gesetze zur Meldepflicht von Datenschutzverletzungen
VERORDNUNG | JETZT AKTIV
Weltweit haben Länder Verordnungen zur Meldung von Datenschutzverletzungen nach dem Verlust personenbezogener Daten erlassen. Diese Verordnungen variieren von Land zu Land, enthalten aber fast immer eine „Safe Harbor“-Klausel.
GLBA
VERORDNUNG | JETZT AKTIV
Der Gramm-Leach-Bliley Act (GLBA) – auch bekannt als Financial Services Modernization Act von 1999 – verpflichtet Finanzinstitute, ihren Kunden ihre Vorgehensweise in Bezug auf die Weitergabe von Daten zu erklären und sensible Daten zu schützen.