Im Oktober 2013 wurde die neue Version der ISO 27001 veröffentlicht; zum 01. Oktober 2015 ist die Übergangsfrist für zertifizierte Unternehmen ausgelaufen.
In wesentlichen Bereichen erfordert sie eine neue Vorgehensweise für Informationssicherheits-Managementsysteme (ISMS). Datenschutz ist in der überarbeiteten ISO-Norm wichtiger.
Was war?
Internationale Normen werden in regelmäßigen Abständen überarbeitet. Die Gremien versuchen neue Erfahrungen, Erkenntnisse und Belange der Unternehmen sowie Entwicklungen einfließen zu lassen. Die Notwendigkeit der Änderungen wurden zum einen durch die Veränderungen in der IT-Sicherheit und im Datenschutz getrieben, wie aber auch durch den Umstand, die verschiedenen Managementnormen (ISO 9001, ISO 14001, etc.) einheitlich zu gestalten („High Level Structure“).
Nach Veröffentlichung und einer zweijährigen Übergangsfrist werden die Normen gültig.
Die Übergangsfrist für die ISO 27001:2013 endete am 01. Oktober 2015. Es ist also höchste Zeit sich mit den Änderungen näher zu befassen, entsprechende Maßnahmen zu definieren und Anpassungen einzuleiten.
Was hat sich geändert?
Eine wesentliche Änderung ist die Struktur der Norm: High Level Structure. Die Kapitel 4 bis 10 beinhalten alle obligatorischen Anforderungen an das eigene ISMS. Schwerpunkte der Anpassungen:
- Es wird eine eingehendere Untersuchung von Einflussfaktoren auf die Organisation gefordert. Analog ISO 9001 sind hier „interessierte Parteien“ (Stakeholder) gemeint.
- Das Management übernimmt mehr Verantwortung. ISMS rückt mehr in den Fokus der Unternehmensführung und wird zur Chefsache wie das auch bei der ISO 9001:2015 der Fall ist.
- Der Organisation steht es frei, welche Methode sie zur Erreichung einer kontinuierlichen Verbesserung (KVP) einsetzt. Es muss nicht mehr zwingend die Systematik des PDCA-Zyklus‘ (plan, do check, act) angewendet werden.
- Das Risikomanagement wurde weiter ausgebaut. In Anlehnung an die ISO 31000, d.h. das Risikomanagement muss nicht die Anforderungen der ISO 31000 erfüllen. Es wird ihm allerdings mehr Bedeutung eingeräumt (analog ISO 9001:2015).
- Die Überwachung und Effektivitätsmessung und die eingesetzten Maßnahmen sind mehr in den Fokus gerückt. Die Leistungsfähigkeit und die Zielerreichung muss mit Hilfe von geeigneten Werkzeugen untermauert werden.
Der Anhang A wurde ebenfalls restrukturiert: Einige Maßnahmen, die sogenannten Controlls, wurden gestrichen, andere hinzugefugt. So wird jetzt § 11 Bundesdatenschutzgesetz (Auftragsdatenverarbeitung) Rechnung getragen. Alle eingesetzten Dienstleister sind mehr „zu controllen“. Es ergibt sich damit ein deutlich größeres Überprüfungs- und Handlungsspektrum. Das Kapitel A 16 regelt das Thema „Informationssicherheitsvorfälle“ und folgt damit dem IT-Sicherheitsgesetz.
Was ist zu tun?
Die geänderten Anforderungen sind in das bestehende ISMS zu integrieren.
Es sollte daher als erstes eine GAP-Analyse durchgeführt werden, um zu analysieren, an welchen Stellen und Prozessen eine Anpassung notwendig ist und welche neu aufgebaut werden müssen, sprich wo besteht Handlungsbedarf. Interne Audits sind ein ideales Instrument für diese Analyse.
Und dann natürlich: rechtzeitig mit der Zertifizierungsgesellschaft abstimmen.
Weitere Informationen zur ISO 27001 in unserem Blog: ISO 27001
Wir hoffen, Sie haben einige Anregungen bekommen, die Sie in der Praxis nutzen können. Wenn Sie Fragen haben oder Unterstützung benötigen, freuen wir uns über ein E-Mail oder Ihren Anruf.
Kontakt: Tel. 089 411 276 – 35 oder consulting@adorgasolutions.de .