DIN EN ISO/IEC 27001:2024-01

DIN EN ISO/IEC 27001 ist eine international anerkannte Norm für Informationssicherheits-Managementsysteme (ISMS). Sie bietet Unternehmen und Organisationen einen systematischen Ansatz, um ihre Informationen zu schützen und die Sicherheit zu verbessern.

Inhalt der DIN EN ISO/IEC 27001:2024-01

• Anwendungsbereich und Kontext: Die Norm ist für alle Organisationen geeignet und erfordert das Verständnis ihres spezifischen Kontextes und der Anforderungen von Interessengruppen.
• Führung und Verantwortung: Führungskräfte müssen die Informationssicherheit aktiv unterstützen, klare Richtlinien entwickeln und Verantwortlichkeiten zuweisen.
• Risikomanagement und Planung: Risiken müssen identifiziert und bewertet werden, um geeignete Sicherheitsmaßnahmen zu planen und zu implementieren.
• Unterstützung und Betrieb: Ressourcen, Kompetenz und Bewusstsein sind entscheidend für die effektive Durchführung von Sicherheitsmaßnahmen.
• Leistungsbewertung und Verbesserung: Regelmäßige Bewertungen und Audits fördern die kontinuierliche Verbesserung des ISMS.

Anwendungsbereiche der DIN EN ISO/IEC 27001

• Unternehmen jeder Größe: Von kleinen und mittleren Unternehmen (KMUs) bis hin zu großen multinationalen Konzernen, die ihre Informationssicherheitspraktiken systematisieren und verbessern möchten.
• Gesundheitswesen: Krankenhäuser, Kliniken und andere Gesundheitsorganisationen, die sensible Patientendaten schützen müssen.
• Finanzdienstleister: Banken, Versicherungen und Finanzinstitute, bei denen der Schutz von Kundendaten und finanziellen Informationen äußerst kritisch ist.
• Technologieunternehmen: Softwareentwickler, Cloud-Service-Anbieter und IT-Dienstleister, die Daten vor technischen Bedrohungen schützen müssen.
• Öffentlicher Sektor: Regierungsorganisationen und Behörden, die den Schutz von Bürgerdaten und sensiblen Informationen gewährleisten müssen.
• Bildungseinrichtungen: Universitäten und Schulen, die personenbezogene Daten von Studierenden und Mitarbeitern sichern möchten.
• E-Commerce und Einzelhandel: Unternehmen im Online-Handel, die Transaktionsdaten und persönliche Informationen ihrer Kunden schützen müssen.

Wesentliche Änderungen der DIN EN ISO/IEC 27001:2024-01 gegenüber der Vorgängernorm

Die DIN EN ISO/IEC 27001:2024-01 ist die deutschsprachige Übernahme der ISO/IEC 27001:2022 und ersetzt die alte Norm von 2017/2013. Inhaltlich bleiben die Kernanforderungen an das ISMS fast gleich, es gab vor allem sprachliche Klarstellungen und Anpassungen an die High Level Structure. Der Titel wurde erweitert, um Cybersecurity und Datenschutz ausdrücklich hervorzuheben. Die größte Änderung betrifft den Anhang A: Statt 114 gibt es nun 93 Kontrollen, die in 4 statt 14 Kategorien gegliedert sind; dabei wurden viele zusammengeführt und 11 neue Kontrollen (z. B. Threat Intelligence, Cloud Security, Secure Coding) ergänzt. Zertifizierte Unternehmen müssen bis Oktober 2025 auf die neue Fassung umgestellt haben.

Dieses Dokument ersetzt DIN EN ISO/IEC 27001:2017-06 .

Dieser Artikel wurde geändert durch: DIN EN ISO/IEC 27001/A1:2024-11

Gegenüber DIN EN ISO/IEC 27001:2017-06 wurden folgende Änderungen vorgenommen: a) der Text wurde an die harmonisierte Struktur für Managementsystemnormen und an ISO/IEC 27002:2022 angepasst.