Die Aktualisierungen von ISO 27001:2022 verstehen — Das Aufbewahrungsmanagement wird erwachsen
Angesichts der Eskalation digitaler Bedrohungen stellen die Aktualisierungen von ISO27001 die Datenspeicherung auf den Kopf. Dies zwingt Unternehmen dazu, zu überdenken, wie sie das schützen, was sowohl eine wichtige Ressource als auch das größte Risiko darstellt — ihre Informationen. Hier sind die VIER wichtigsten Updates zur Information Governance, in 4 Minuten.
Informationssicherheit und Verwaltung entwickeln sich ständig weiter. Für Unternehmen, die ihr Vermögen und ihren Ruf schützen wollen, ist die Einhaltung internationaler Standards wie ISO/IEC 27001 von entscheidender Bedeutung. Mit den Aktualisierungen des Frameworks im Jahr 2022 wurden mehrere Änderungen eingeführt, die sich erheblich darauf auswirken, wie Unternehmen die Aufbewahrung und Löschung von Daten im Rahmen ihrer Informations-Governance-Programme verwalten. Sie werden nun ab April 2024 durchgesetzt, was Unternehmen, die die Einhaltung der Vorschriften anstreben oder aufrechterhalten wollen, sowohl Herausforderungen als auch Chancen mit sich bringt.
Die Herausforderung: Verwaltung der Datenspeicherung
Das Datenaufbewahrungsmanagement ist ein wichtiger Bestandteil der Informationssicherheit. Unternehmen müssen festlegen, wie lange Daten aufbewahrt werden sollen und wann sie sicher entsorgt werden müssen. Und dieses Problem nimmt bei SaaS zu. Im Jahr 2024 nutzt ein durchschnittliches Unternehmen 371 SaaS-Anwendungen, ein dramatischer Anstieg gegenüber nur 8 im Jahr 2015. Dieser Anstieg der SaaS-Nutzung hat zu einer explosionsartigen Zunahme von von Mitarbeitern generierten Inhalten geführt, was die Risiken einer unsachgemäßen Aufbewahrung von Inhalten erhöht hat. Datenschutzverletzungen, behördliche Sanktionen und Vertrauensverlust sind nur einige der möglichen Folgen, wenn die Datenspeicherung nicht effektiv verwaltet wird.
Vor dem Update 2022 hatten viele Unternehmen Schwierigkeiten, die Notwendigkeit, Inhalte für betriebliche Zwecke aufzubewahren, mit der Notwendigkeit, die Risiken einer übermäßigen Aufbewahrung zu minimieren, in Einklang zu bringen. Aufgrund der Unklarheit in früheren Versionen von ISO 27001 standen Unternehmen vor der Herausforderung, sichere und konforme Aufbewahrungsrichtlinien zu interpretieren und umzusetzen. Dies führte häufig zu inkonsistenten Praktiken, bei denen einige Inhalte länger als nötig aufbewahrt wurden und andere wichtige Inhalte vorzeitig gelöscht wurden.
Vier wichtige Änderungen in ISO 27001:2022
Das Aktualisierung 2022 auf ISO 27001 brachte erhebliche Änderungen mit sich, um diesen Herausforderungen im Aufbewahrungsmanagement zu begegnen. Die Kernprinzipien der Informationsverwaltung und Sicherheit bleiben zwar unverändert, doch mit der neuen Version werden klarere Richtlinien und Anforderungen eingeführt, insbesondere in Bezug auf das Datenlebenszyklusmanagement, die Risikobewertung und die Dokumentation.
1. Der Schwerpunkt liegt auf dem Datenlebenszyklusmanagement
Eine der wichtigsten Änderungen in ISO 27001:2022 ist der verstärkte Fokus auf das Datenlebenszyklusmanagement. Die aktualisierte Norm verlangt von Unternehmen, jede Phase des Datenlebenszyklus — von der Erstellung bis zur Datenlöschung — klar zu definieren und zu dokumentieren. Dieser strukturierte Ansatz stellt sicher, dass die Richtlinien zur Aufbewahrung von Informationen sowohl den betrieblichen Anforderungen als auch den Sicherheitsanforderungen entsprechen, einschließlich der Verwaltung der von Mitarbeitern erstellten Inhalte in jeder Phase.
2. Risikobasierter Ansatz zur Kundenbindung
Das Update 2022 unterstreicht die Bedeutung eines risikobasierten Ansatzes für das Aufbewahrungsmanagement. Von Unternehmen wird nun erwartet, dass sie gründliche Risikobewertungen durchführen, um angemessene Aufbewahrungsfristen für verschiedene Arten von Daten und Inhalten festzulegen. Dieser Ansatz stellt sicher, dass Daten nur so lange aufbewahrt werden, wie es zur Erfüllung gesetzlicher, behördlicher und geschäftlicher Anforderungen erforderlich ist, wodurch das Risiko verringert wird, dass Daten länger als nötig aufbewahrt werden.
3. Verbesserte Dokumentations- und Prüfungsanforderungen
Eine weitere wichtige Änderung sind die erweiterten Dokumentations- und Prüfanforderungen. Unternehmen müssen nun detaillierte Aufzeichnungen über ihre Aufbewahrungsrichtlinien und -verfahren führen, einschließlich der Begründungen für die Aufbewahrungsfristen und Maßnahmen, die zur sicheren Entsorgung von Daten ergriffen wurden. Diese Dokumentation unterstützt die Einhaltung von ISO 27001 und bietet einen klaren Prüfpfad, der bei Sicherheitsbewertungen, eDiscovery, Gerichtsverfahren oder im Falle einer Datenschutzverletzung von unschätzbarem Wert ist.
4. Integration mit anderen Informationssicherheitskontrollen
Der aktualisierte Standard fördert auch einen stärker integrierten Ansatz zur Informationssicherheit, bei dem das Aufbewahrungsmanagement eng mit anderen Kontrollen wie Zugriffsmanagement, Verschlüsselung und Reaktion auf Vorfälle verknüpft ist. Diese Integration stellt sicher, dass Aufbewahrungsrichtlinien nicht isoliert entwickelt werden, sondern Teil einer umfassenderen Strategie zum Schutz vertraulicher Informationen während ihres gesamten Lebenszyklus sind.
Ausblick: Anpassung an die Updates
Für Unternehmen, die bereits nach ISO 27001 zertifiziert sind, erfordern die Aktualisierungen von 2022 eine gründliche Überprüfung und wahrscheinlich eine Überarbeitung der bestehenden Aufbewahrungsmanagementpraktiken. Die Umstellung auf den aktualisierten Standard beinhaltet mehr als nur die Aktualisierung der Dokumentation. Sie erfordert einen kulturellen Wandel hin zur Betrachtung des Datenlebenszyklusmanagements als eine wichtige Komponente der Informationssicherheit.
Unternehmen sollten zunächst eine Lückenanalyse durchführen, um Bereiche zu identifizieren, in denen ihre derzeitigen Praktiken möglicherweise nicht den neuen Anforderungen entsprechen. Auf diese Analyse sollte eine umfassende Überprüfung der Aufbewahrungsrichtlinien, der Risikobewertungsprozesse und der Dokumentation folgen. Die Einbindung aller Beteiligten — von der IT bis hin zur Rechtsabteilung — ist unerlässlich, um sicherzustellen, dass die Aufbewahrungsrichtlinien nicht nur konform, sondern auch praktisch sind und auf die betrieblichen Anforderungen des Unternehmens abgestimmt sind.
Ein einfacher, aber effektiver erster Schritt besteht darin, einen Archivierungsprozess einzurichten, bevor Daten gelöscht und gelöscht werden. Durch die Archivierung von Daten schaffen Unternehmen einen sicheren Zwischenspeicherbereich, in dem wichtige Informationen für Audits, rechtliche Überprüfungen oder betriebliche Zwecke aufbewahrt werden. Dieser Ansatz entspricht nicht nur den erweiterten Dokumentations- und Risikobewertungsanforderungen von ISO 27001:2022, sondern bietet auch ein Sicherheitsnetz gegen die Risiken einer vorzeitigen Löschung.
Schulungs- und Sensibilisierungsprogramme sind von entscheidender Bedeutung, um den Mitarbeitern die Bedeutung einer ordnungsgemäßen Datenspeicherung und die mit dem Update 2022 eingeführten Änderungen zu vermitteln. Durch die Förderung einer Kultur der Compliance und Wachsamkeit können Unternehmen sicherstellen, dass sie nicht nur die gesetzlichen Anforderungen erfüllen, sondern auch ihr wertvollstes Kapital — Informationen — aktiv schützen.
Die Implementierung des automatisierten routinemäßigen Löschens von Informationen und Mitarbeiterinhalten ist ebenfalls von großem Vorteil. Apps wie Content Retention Manager für Confluence und Content Retention Manager für Jira Dies wird durch Richtlinien und Automatisierung ermöglicht, die Fehler der Mitarbeiter vermeiden und gleichzeitig eine erhöhte Einhaltung des Frameworks nachweisen. Gleichzeitig wird nachgewiesen, dass die Archivierung und das anschließende Löschen bei zukünftigen eDiscovery-Vorgängen völlig routinemäßig und automatisiert ablaufen.
Fazit
Die Aktualisierungen nach ISO 27001:2022 bieten Unternehmen eine zeitnahe Gelegenheit, ihre Praktiken für das Aufbewahrungsmanagement zu stärken. Indem Sie diese Änderungen berücksichtigen und in Ihre allgemeine Informationssicherheitsstrategie integrieren, kann Ihr Unternehmen die Einhaltung von ISO 27001 verbessern, Risiken insgesamt reduzieren und mehr Vertrauen aufbauen.
Testen Sie Content Retention Manager noch heute kostenlos: