A'PARI Consulting GmbH - Unternehmensblog

Ein Blog rund um Logistik und IT

ISO27001:2013: Eine erste Einschätzung

von Kommentar verfassen

Vor einem knappen Monat kam die neue Version des Standard ISO27001:2013 (der Standard für Informationssicherheits-Management) heraus. Diese ersetzt den bisherigen Standard ISO27001:2005 vollständig. Deshalb ist es sicher sinnvoll, sich so früh wie möglich damit auseinander zu setzen.

Mir sind folgende Punkte aufgefallen:

Die Struktur
Bei näherer Betrachtung fällt zunächst die neue Struktur auf. Diese orientiert sich an den neuen Vorgaben für ISO Standards und ist somit auch besser lesbar, wenn man bereits Erfahrungen mit neueren Standards (z.B. ISO9000 oder ISO20000) hat.
Der Standard ist in die Kapitel 0 bis 10 aufgeteilt und enthält einen Anhang (Annex A).
Zudem wurden die Begriffsdefinitionen herausgenommen. Hier wird jetzt auf den Standard ISO27000:2012 verwiesen, in dem sich alle Begrifflichkeiten wiederfinden. Außerdem sind Anhänge B und C vollständig entfallen.

Eine der offensichtlichsten Änderungen: Der Plan-Do-Check-Act (PDCA) Kreislauf ist verschwunden. Der Bedarf, eine kontinuierliche Verbesserung zu implementieren, ist meiner Meinung nach aber nach wie vor besonders wichtig.

Die Controls
Ist man im Annex A angelangt, wird deutlich, dass die Anzahl der Sicherheitsmaßnahmen (Controls) geringer geworden sind. Dies resultiert daraus, dass die bestehenden Controls neu formuliert und ggf. auch zusammengelegt wurden. Dies erleichtert die Umsetzung der einzelnen Punkte, weil nun keine Dopplungen mehr auftauchen.
Zu den Controls wurden auch neue Bereiche hinzugefügt, die es in der ursprünglichen Version des Standards noch nicht gab. Dazu zählen z.B. die Richtlinie zur Nutzung mobiler Geräte und die Informationssicherheit im Projektmanagement.
In der vorliegenden Fassung wird auch die Trennung von vorbeugenden und korrigierenden Maßnahmen aufgelöst. Dies hat meiner Meinung nach den Vorteil, dass die bisherige strikte Trennung der Maßnahmen entfällt.

Was bedeutet der neue Standard für bestehende Zertifikate?
Bestehende Zertifikate sind natürlich weiterhin gültig. Abgesehen von einer gewissen Übergangszeit sind jedoch zukünftige (Re-)Zertifizierungen nach dem neuen Standard durchzuführen.

Mein Fazit
Als Fazit lässt sich sagen, dass die Norm nun einfacher lesbar ist als zuvor. Sie wurde sinnvoll überarbeitet und erweitert. Doppelungen wurden reduziert.
Unternehmen, die bereits nach ISO27001 zertifiziert sind, sollten sich jedoch frühzeitig mit der neuen Version vertraut machen, um die Neuerungen in ihr ISMS zu integrieren.

Haben Sie sich den neuen Standard schon angesehen? Wie lautet Ihr Fazit?

Empfohlene Beiträge

Nachgefasst: Das IT-Sicherheitsgesetz nach einem Jahr

Am 25. Juli 2015 wurde das IT-Sicherheitsgesetz verabschiedet (wir berichteten). Ziel dieses Gesetzes war und ist es, den Schutz kritischer Infrastrukturen (KRITIS) zu verbessern. Deren Betreiber sind gefordert, einen Mindeststandard an Informationssicherheit zu gewährleisten. Ausgangslage dieser Regulierungen war die sich stark zuspitzende Bedrohungslage der letzten Jahre, die im Cyberumfeld zu erkennen ist. Das Bundesamt für Sicherheit […]

Web-Shop und elektronische Rechnung – es geht auch kompliziert

Keine Frage: Die Nutzung von Web-Shops für den Einkauf ist auch für mittelständische Unternehmen, wie z.B. A’PARI, sehr bequem und angenehm. Der Einkaufsprozess gestaltet sich einfach, und der für den neuen Mitarbeiter bestellte Laptop ist innerhalb von 2 Tagen beim Empfänger – einfacher geht es nicht. Wenn da nicht der nicht die Sache mit der […]

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Time limit is exhausted. Please reload CAPTCHA.