Vor einem knappen Monat kam die neue Version des Standard ISO27001:2013 (der Standard für Informationssicherheits-Management) heraus. Diese ersetzt den bisherigen Standard ISO27001:2005 vollständig. Deshalb ist es sicher sinnvoll, sich so früh wie möglich damit auseinander zu setzen.
Mir sind folgende Punkte aufgefallen:
Die Struktur
Bei näherer Betrachtung fällt zunächst die neue Struktur auf. Diese orientiert sich an den neuen Vorgaben für ISO Standards und ist somit auch besser lesbar, wenn man bereits Erfahrungen mit neueren Standards (z.B. ISO9000 oder ISO20000) hat.
Der Standard ist in die Kapitel 0 bis 10 aufgeteilt und enthält einen Anhang (Annex A).
Zudem wurden die Begriffsdefinitionen herausgenommen. Hier wird jetzt auf den Standard ISO27000:2012 verwiesen, in dem sich alle Begrifflichkeiten wiederfinden. Außerdem sind Anhänge B und C vollständig entfallen.
Eine der offensichtlichsten Änderungen: Der Plan-Do-Check-Act (PDCA) Kreislauf ist verschwunden. Der Bedarf, eine kontinuierliche Verbesserung zu implementieren, ist meiner Meinung nach aber nach wie vor besonders wichtig.
Die Controls
Ist man im Annex A angelangt, wird deutlich, dass die Anzahl der Sicherheitsmaßnahmen (Controls) geringer geworden sind. Dies resultiert daraus, dass die bestehenden Controls neu formuliert und ggf. auch zusammengelegt wurden. Dies erleichtert die Umsetzung der einzelnen Punkte, weil nun keine Dopplungen mehr auftauchen.
Zu den Controls wurden auch neue Bereiche hinzugefügt, die es in der ursprünglichen Version des Standards noch nicht gab. Dazu zählen z.B. die Richtlinie zur Nutzung mobiler Geräte und die Informationssicherheit im Projektmanagement.
In der vorliegenden Fassung wird auch die Trennung von vorbeugenden und korrigierenden Maßnahmen aufgelöst. Dies hat meiner Meinung nach den Vorteil, dass die bisherige strikte Trennung der Maßnahmen entfällt.
Was bedeutet der neue Standard für bestehende Zertifikate?
Bestehende Zertifikate sind natürlich weiterhin gültig. Abgesehen von einer gewissen Übergangszeit sind jedoch zukünftige (Re-)Zertifizierungen nach dem neuen Standard durchzuführen.
Mein Fazit
Als Fazit lässt sich sagen, dass die Norm nun einfacher lesbar ist als zuvor. Sie wurde sinnvoll überarbeitet und erweitert. Doppelungen wurden reduziert.
Unternehmen, die bereits nach ISO27001 zertifiziert sind, sollten sich jedoch frühzeitig mit der neuen Version vertraut machen, um die Neuerungen in ihr ISMS zu integrieren.
Haben Sie sich den neuen Standard schon angesehen? Wie lautet Ihr Fazit?
Hinterlassen Sie eine Antwort