ISO 27001 – Über­gangs­frist ist ausgelaufen

Im Oktober 2013 wurde die neue Version der ISO 27001 ver­öf­fent­licht; zum 01. Oktober 2015 ist die Über­gangs­frist für zer­ti­fi­zier­te Un­ter­neh­men ausgelaufen.

In we­sent­li­chen Be­rei­chen er­for­dert sie eine neue Vor­ge­hens­wei­se für In­­­for­­ma­­ti­ons­­si­cher­heits-Ma­­na­ge­­men­t­­sys­­te­­me (ISMS). Daten­schutz ist in der über­ar­bei­te­ten ISO-Norm wichtiger.

Was war?
In­ter­na­tio­na­le Normen werden in re­gel­mä­ßi­gen Ab­stän­den über­ar­bei­tet. Die Gremien ver­su­chen neue Er­fah­run­gen, Er­kennt­nis­se und Belange der Un­ter­neh­men sowie Ent­wick­lun­gen ein­flie­ßen zu lassen. Die Not­wen­dig­keit der Än­de­run­gen wurden zum einen durch die Ver­än­de­run­gen in der IT-Si­cher­heit und im Daten­schutz ge­trie­ben, wie aber auch durch den Umstand, die ver­schie­de­nen Ma­nage­ment­nor­men (ISO 9001, ISO 14001, etc.) ein­heit­lich zu ge­stal­ten („High Level Structure“).
Nach Ver­öf­fent­li­chung und einer zwei­jäh­ri­gen Über­gangs­frist werden die Normen gültig.

Die Über­gangs­frist für die ISO 27001:2013 endete am 01. Oktober 2015. Es ist also höchste Zeit sich mit den Än­de­run­gen näher zu be­fas­sen, ent­spre­chen­de Maß­nah­men zu de­fi­nie­ren und An­pas­sun­gen einzuleiten.

Was hat sich geändert?
Eine we­sent­li­che Än­de­rung ist die Struk­tur der Norm: High Level Struc­tu­re. Die Kapitel 4 bis 10 be­inhal­ten alle ob­li­ga­to­ri­schen An­for­de­run­gen an das eigene ISMS. Schwer­punk­te der An­pas­sun­gen:

• Es wird eine ein­ge­hen­de­re Un­ter­su­chung von Ein­fluss­fak­to­ren auf die Or­ga­ni­sa­ti­on ge­for­dert. Analog ISO 9001 sind hier „in­ter­es­sier­te Par­tei­en“ (Stake­hol­der) gemeint.
• Das Ma­nage­ment über­nimmt mehr Ver­ant­wor­tung. ISMS rückt mehr in den Fokus der Un­ter­neh­mens­füh­rung und wird zur Chef­sa­che wie das auch bei der ISO 9001:2015 der Fall ist.
• Der Or­ga­ni­sa­ti­on steht es frei, welche Methode sie zur Er­rei­chung einer kon­ti­nu­ier­li­chen Ver­bes­se­rung (KVP) ein­setzt. Es muss nicht mehr zwin­gend die Sys­te­ma­tik des PDCA-Zyklus‘ (plan, do check, act) an­ge­wen­det werden.
• Das Ri­si­ko­ma­nage­ment wurde weiter aus­ge­baut. In An­leh­nung an die ISO 31000, d.h. das Ri­si­ko­ma­nage­ment muss nicht die An­for­de­run­gen der ISO 31000 er­fül­len. Es wird ihm al­ler­dings  mehr Be­deu­tung ein­ge­räumt (analog ISO 9001:2015).
• Die Über­wa­chung und Ef­fek­ti­vi­täts­mes­sung und die ein­ge­setz­ten Maß­nah­men sind mehr in den Fokus gerückt. Die Leis­tungs­fä­hig­keit und die Ziel­er­rei­chung muss mit Hilfe von ge­eig­ne­ten Werk­zeu­gen un­ter­mau­ert werden.

Der Anhang A wurde eben­falls re­struk­tu­riert: Einige Maß­nah­men, die so­ge­nann­ten Con­trolls, wurden ge­stri­chen, andere hin­zu­ge­fugt. So wird jetzt § 11 Bun­des­da­ten­schutz­ge­setz (Auf­trags­da­ten­ver­ar­bei­tung) Rech­nung ge­tra­gen. Alle ein­ge­setz­ten Dienst­leis­ter sind mehr „zu con­trol­len“. Es ergibt sich damit ein deut­lich grö­ße­res Über­­prü­­fungs- und Hand­lungs­spek­trum. Das Kapitel A 16 regelt das Thema „In­for­ma­ti­ons­si­cher­heits­vor­fäl­le“ und folgt damit dem IT-Sicherheitsgesetz.

Was ist zu tun?
Die ge­än­der­ten An­for­de­run­gen sind in das be­stehen­de ISMS zu integrieren.
Es sollte daher als erstes eine GAP-Analyse durch­ge­führt werden, um zu ana­ly­sie­ren, an welchen Stellen und Pro­zes­sen eine An­pas­sung not­wen­dig ist und welche neu auf­ge­baut werden müssen, sprich wo besteht Hand­lungs­be­darf. Interne Audits sind ein ideales In­stru­ment für diese Analyse.
Und dann na­tür­lich: recht­zei­tig mit der Zer­ti­fi­zie­rungs­ge­sell­schaft abstimmen.

Weitere In­for­ma­tio­nen zur ISO 27001 in unserem Blog: ISO 27001

Wir hoffen, Sie haben einige An­re­gun­gen be­kom­men, die Sie in der Praxis nutzen können. Wenn Sie Fragen haben oder Un­ter­stüt­zung be­nö­ti­gen, freuen wir uns über ein E-Mail oder Ihren Anruf.
Kontakt: Tel. 089 411 276 – 35 oder consulting@adorgasolutions.de .