activeMind AG - ISO 27001:2015 deutsche Übersetzung

Seit März 2015 ist eine neue Version der DIN ISO/IEC 27001 Norm verfügbar: Die DIN ISO/IEC 27001:2008 wird nun durch die DIN ISO/IEC 27001:2015 ersetzt. Letztere war bereits seit Februar 2014 als Entwurf vorhanden, nun wurde jedoch die vollwertige Version dieser Norm herausgegeben. Bei der DIN ISO/IEC 27001:2015 handelt es sich um die deutsche Übersetzung der internationalen Norm ISO/IEC 27001:2013. Die deutsche Version ist gegenüber ihrer Vorgängernorm aus dem Jahre 2008 um rund ein Viertel des Umfangs gekürzt worden. Diese Verschlankung bringt auch einige inhaltliche Änderungen mit sich. Im Folgenden beleuchten wir die wichtigsten Änderungen und heben praxisrelevante Neuerungen hervor.

Die Artikelserie zur DIN ISO/IEC 27001:2015

    Warum wurde die ISO/IEC 27001 geändert?

    Hauptgrund für die Änderungen der Norm ist die Übernahme der „High-Level-Struktur“, welche die ISO Direktive Teil 1 in Annex SL vorschreibt. Diese Struktur dient der Vereinheitlichung des Aufbaus aller Managementsystemnormen wie der ISO/IEC 9001 oder auch der ISO/IEC 27001. Ziel ist die Harmonisierung von verschiedenen Managementsystemen durch Verwendung von einheitlichen Begriffen, Textbausteinen sowie eines einheitlichen Aufbaus. Aber auch eine Verbesserung der inhaltlichen Vorgaben der Norm wie beispielsweise der Abbau von Redundanzen spielten bei der Optimierung der ISO/IEC 27001 eine Rolle.

    Wann müssen Unternehmen die neue ISO/IEC 27001:2015 Norm umsetzen?

    Da die meisten Unternehmen nach der internationalen Version der Norm zertifiziert sind, beschreiben die nachfolgend angeführten Daten lediglich die Übergangsfrist für die internationale Norm ISO/IEC 27001:2013. Diese beträgt grundsätzlich zwei Jahre. Unternehmen, deren Zertifizierung noch auf Basis der Version von 2005 erfolgte, müssen also spätestens bis Ende September 2015 die Standards der ISO/IEC 27001:2013 umgesetzt haben. Denn bereits ein Jahr früher, also seit Oktober 2014, dürfen nur noch Zertifikate auf Basis der neuen internationalen Norm ausgestellt werden.

    Unterschiede DIN ISO/IEC 27001:2008 vs. DIN ISO/IEC 27001:2015

    • Künftig sind neben internen verstärkt auch externe Anforderungen (inklusive der interessierten Parteien) in das Informationssicherheitsmanagement aufzunehmen. Es wird also ein stärkerer Fokus auf das Unternehmen als Teil eines Netzwerks gelegt.
    • Anforderungen an die Führung durch das Management sind verstärkt worden, unter anderem durch Festlegung konkreter Ziele in der Informationssicherheitsleitlinie.
    • Konkrete Anforderungen an die Planung interner und externer Kommunikation wurden neu eingefügt, u. a. durch die Festlegung von Kommunikationsprozessen.
    • Künftig muss jeweils ein Risikoverantwortlicher (Risk Owner) festgelegt werden.
    • Die Trennung zwischen korrigierenden und vorbeugenden Maßnahmen wurde aufgehoben.
    • Der PDCA-Zyklus (Plan – Do – Check – Act) wird nicht mehr ausdrücklich erwähnt. Die Pflicht zur Umsetzung der PDCA-Phasen ergibt sich jedoch weiterhin schlüssig aus dem Aufbau der neuen Norm.
    • Die Anforderungen an die Risikobewertung und die Risikobehandlung sind erhöht worden und dem Standard ISO 31000 angepasst worden.
    • Die Verbesserung des Informationssicherheitsmanagements bezieht sich nicht mehr auf einzelne Maßnahmen sondern auf das gesamte Management.
    • Die anzuwendenden Maßnahmen adressieren künftig neben Risiken auch Chancen.
    • Ein konkretes Überwachungskonzept zur Auswertung der Leistung des Informationssicherheitssystems und der Wirksamkeit des Informationssicherheitsmanagementsystems wird gefordert.
    • Die Anwendung der Maßnahmen ist liberaler gestaltet als in der Vorgängerversion. So sind die Maßnahmen aus Anhang A der Norm nicht mehr verpflichtend. In der SoA muss jedoch für jede einzelne Maßnahme begründet werden, warum diese ausgeschlossen wurde.

    Fazit: Umsetzung neuer Standards der DIN ISO/IEC 27001:2015 zügig angehen

    Angesichts dieser umfangreichen Änderungen ist zu empfehlen, auch bei einem noch nicht unmittelbar bevorstehenden Überwachungsaudit bzw. einer Re-Zertifizierung nach ISO 27001 bereits frühzeitig mit der Umsetzung des neuen Standards zu beginnen. Denn nur so kann eine reibungslose Übernahme der neuen DIN ISO/IEC 27001:2015 gewährleistet werden.

    Bitte bewerten Sie diese Inhalte!
    [9 Bewertung(en)/ratings]