Was ist ISO/IEC 27001:2022?
ISO 27001 ist der internationale Standard für Informationssicherheit. Es handelt sich um ein Information Security Management System (ISMS) und das Ergebnis der Bemühungen einer Organisation um mehr Informationssicherheit kann mit einer ISO 27001-Zertifizierung gekrönt werden . ISO/IEC 27001:2022 war das mit Spannung erwartete 2022-Update des Standards.
Was ist das ISO/IEC 27001:2022 Amendment 1?
ISO 27001 Amendment 1 ist eine Erweiterung der ISO 27001-Norm, welche Anforderungen an den Klimawandel in das Informationssicherheitsmanagementsystem einführt. Es ist offiziell als ISO/IEC 27001:2022 Amendment 1 Climate Action Changes veröffentlich worden.
Es handelt sich dabei um eine Erweiterung der bestehenden Norm, die darauf abzielt, den Anforderungen der sich abzeichnenden Klimakrise – und dies ist keine Übertreibung – auch im Bereich der Informationssicherheit Rechnung zu tragen.
Was hat sich in der neuen ISO/IEC 27001:2022 durch diese Ergänzung geändert?
Es ist also keine tatsächliche Weiterentwicklung des Informationssicherheitsmanagementsystems (ISMS). Der Schwerpunkt des Amendements liegt darauf, die Agenda des Klimawandels auch in diesem Standard einzuführen, unabhängig davon, ob das Thema für diesen Standard relevant sind oder nicht.
Was ist zu tun wenn man bereits zertifiziert ist?
Wenn der Klimawandel bereit auf Ihrer Agenda Ihres Unternehmens steht, dann decken Sie dieses Thema bereits ab und es gibt nichts extra zu tun. Sollte dies nicht der Fall sein sollten das Dokument zum Kontext der Organisation aktualisieren, um eine Zeile einzufügen, die festlegt, dass der Klimawandel überprüft wurde und zu dem Schluss kam, dass der Klimawandel kein relevantes Risiko für Sie oder das Informationssicherheitsmanagementsystem darstellt. Dies ist der einfachste und schnellste Weg, um die Anforderung zu erfüllen.
Wenn es ein relevantes Risiko für Sie darstellt, sollten Sie es in Ihre Risikolandkarte aufnehmen und entsprechende Maßnahmen ergreifen und dokumentieren.
Zusätzlich sollten Sie ihre Stakeholder des ISMS fragen, ob der Klimawandel für sie relevant ist und, falls ja, in welcher Weise, sodass Sie die Anforderung in der Implementierung Ihres Informationssicherheitsmanagementsystems berücksichtigen können. Seien Sie darauf vorbereitet, bei Gesprächen mit externen ISO 27001-Auditoren zu erklären, dass Sie sie gefragt haben und es nicht (vermutlich) oder doch relevant im Kontext der Informationssicherheit war und was Sie dagegen unternommen haben.