A'PARI Consulting GmbH - Unternehmensblog

Ein Blog rund um Logistik und IT

ISO27001:2013: Eine erste Einschätzung

von Kommentar verfassen

Vor einem knappen Monat kam die neue Version des Standard ISO27001:2013 (der Standard für Informationssicherheits-Management) heraus. Diese ersetzt den bisherigen Standard ISO27001:2005 vollständig. Deshalb ist es sicher sinnvoll, sich so früh wie möglich damit auseinander zu setzen.

Mir sind folgende Punkte aufgefallen:

Die Struktur
Bei näherer Betrachtung fällt zunächst die neue Struktur auf. Diese orientiert sich an den neuen Vorgaben für ISO Standards und ist somit auch besser lesbar, wenn man bereits Erfahrungen mit neueren Standards (z.B. ISO9000 oder ISO20000) hat.
Der Standard ist in die Kapitel 0 bis 10 aufgeteilt und enthält einen Anhang (Annex A).
Zudem wurden die Begriffsdefinitionen herausgenommen. Hier wird jetzt auf den Standard ISO27000:2012 verwiesen, in dem sich alle Begrifflichkeiten wiederfinden. Außerdem sind Anhänge B und C vollständig entfallen.

Eine der offensichtlichsten Änderungen: Der Plan-Do-Check-Act (PDCA) Kreislauf ist verschwunden. Der Bedarf, eine kontinuierliche Verbesserung zu implementieren, ist meiner Meinung nach aber nach wie vor besonders wichtig.

Die Controls
Ist man im Annex A angelangt, wird deutlich, dass die Anzahl der Sicherheitsmaßnahmen (Controls) geringer geworden sind. Dies resultiert daraus, dass die bestehenden Controls neu formuliert und ggf. auch zusammengelegt wurden. Dies erleichtert die Umsetzung der einzelnen Punkte, weil nun keine Dopplungen mehr auftauchen.
Zu den Controls wurden auch neue Bereiche hinzugefügt, die es in der ursprünglichen Version des Standards noch nicht gab. Dazu zählen z.B. die Richtlinie zur Nutzung mobiler Geräte und die Informationssicherheit im Projektmanagement.
In der vorliegenden Fassung wird auch die Trennung von vorbeugenden und korrigierenden Maßnahmen aufgelöst. Dies hat meiner Meinung nach den Vorteil, dass die bisherige strikte Trennung der Maßnahmen entfällt.

Was bedeutet der neue Standard für bestehende Zertifikate?
Bestehende Zertifikate sind natürlich weiterhin gültig. Abgesehen von einer gewissen Übergangszeit sind jedoch zukünftige (Re-)Zertifizierungen nach dem neuen Standard durchzuführen.

Mein Fazit
Als Fazit lässt sich sagen, dass die Norm nun einfacher lesbar ist als zuvor. Sie wurde sinnvoll überarbeitet und erweitert. Doppelungen wurden reduziert.
Unternehmen, die bereits nach ISO27001 zertifiziert sind, sollten sich jedoch frühzeitig mit der neuen Version vertraut machen, um die Neuerungen in ihr ISMS zu integrieren.

Haben Sie sich den neuen Standard schon angesehen? Wie lautet Ihr Fazit?

Empfohlene Beiträge

Terminplanung – Wann können wir uns zusammen setzen?

Der Leistungsanspruch an uns alle ist in den vergangenen Jahren deutlich gestiegen. Alles muss schnell oder besser noch sofort erledigt werden. Wenn das nicht klappt, ist dies häufig ein Zeichen von schlechter Terminplanung und fehlendem Zeitmanagement.

Softwareauswahl – Was erwartet uns in 2017?

Das vergangene Jahr stand auch in der Transportlogistik stark unter dem Begriff Digitalisierung. Wie können Logistikdienstleister ihre Prozesse durch den verstärkten Einsatz von IT effizienter gestalten und ihren Kunden neue Services oder gar neue Geschäftsmodelle anbieten? In keinem der vergangenen Jahre wurden von A’PARI Consulting mehr Projekte zur Softwareauswahl durchgeführt. Neben Transport Management (TMS) und Warehouse Management […]

Warum Datenqualität so wichtig ist

Zurück von einen Vortrag in Osnabrück, wo ich einen Vortrag im Rahmen des LOGIS.NET Fachseminars „Logistikcontrolling mit Hilfe moderner Informationstechnologie“ gehalten habe, möchte ich ein Thema ansprechen, das unseren Projektleitern in Projekten immer wieder als besondere Herausforderung begegnet: die Sicherstellung der Datenqualität.

Hinterlassen Sie eine Antwort

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

Time limit is exhausted. Please reload CAPTCHA.