Die ISO Norm 27001 Forderungen im Überblick

Die Original-Version der ISO Norm 27001 wurde am 01.10.2013 veröffentlicht (der Entwurf der deutschen Übersetzung, der für den vorliegenden Umsetzungsleitfaden als Grundlage diente, wurde im Februar 2014 veröffentlicht und hatte eine Einspruchsfrist bis zum 10.03.2014). Bis zum 01.10.2014 konnte daher eine Zertifizierung auch noch nach dem Standard der ISO 27001 durchgeführt werden.

Bis zum 01.10.2015 müssen jedoch alle bereits zertifizierten Managementsysteme auf die neue Version angepasst sein – die veraltete Version der ISO 27001 verliert zu diesem Stichtag ihre Gültigkeit (länger gültige Zertifikate nach dieser Version allerdings nicht, diese können aber nicht mehr rezertifiziert werden).

AUSBILDUNG: Mit der Ausbildung Basiswissen Informationssicherheitsmanagement ISO 27001 lernen Sie die ISO 27001 von Grund auf kennen und anzuwenden.

Struktur der Norm ISMS ISO 27001:2013

Die Struktur der ISO 27001 wurde den Anforderungen der ISO Management System Standards (Anhang SL der ISO/IEC Direktiven) angepasst. Das bedeutet allerdings, dass nicht nur strukturelle Änderungen vorgenommen wurden, sondern die ISO 27001 sich nun auch inhaltlich wesentlich stärker an den Vorgaben zur Implementierung und Aufrechterhaltung eines Managementsystems orientiert. Hieraus resultiert auch der Wegfall des prozessorientierten Ansatzes, der in der alten Version noch ausführlich beschrieben wurde. Für die Umsetzung eines Managementsystems würde er nicht mehr ausreichen – dagegen ist die neue Norm inhaltlich stärker prozessual ausgeprägt und richtet sich implizit deshalb an einem PDCA („Plan-Do-Check-Act“) -Zyklus aus.

Forderungspunkte der ISO 27001
Forderungsabschnitte der ISO 27001

4 Kontext der Organisation


4.1 "Verständnis der Organisation und ihres Kontexts "
4.2 "Verständnis der Bedürfnisse und Erwartungen interessierter Parteien "
4.3 "Festlegung des Geltungsbereichs des Informationssicherheitsmanagementsystem"
4.4 Informationssicherheitsmanagementsystem

5 Führung


5.1 Führung und Engagement
5.2 Leitlinie
5.3 "Organisatorische Aufgaben, Zuständigkeiten und Befugnisse "

6 Planung


6.1 "Maßnahmen zum Umgang mit Risiken und Chancen "
6.2 "Informationssicherheitsziele und Pläne für deren Erreichung "

7 Unterstützung


7.1 Ressourcen
7.2 Kompetenz
7.3 Bewusstsein
7.4 Kommunikation
7.5 Dokumentierte Informationen

8 Einsatz


8.1 Einsatzplanung und -kontrolle
8.2 Informationssicherheitsrisikoeinschätzung
8.3 Informationssicherheitsrisikobehandlung

9 Leistungsauswertung


9.1 "Überwachung, Messung, Analyse
und Auswertung"
9.2 Internes Audit
9.3 Prüfung durch die Leitung

10 Verbesserung


10.1 Fehler und Korrekturmaßnahmen
10.2 Laufende Verbesserungen