Die DIN EN ISO/IEC 27001:2013 – die wichtigsten Änderungen im Überblick
Der König ist tot, es lebe der König. So ähnlich stellt sich die Situation auch im Normenwesen dar: Damit Normen nicht sukzessive veralten, werden sie von dem zuständigen Technischen Komitee gepflegt, d.h. in regelmäßigen Abständen überarbeitet. Für die ISO 27000-Familie ist das Technische Komitee ISO/IEC JTC 1/SC 27 „IT Security techniques“ zuständig. Mit der Revision 2013 und der deutschen Ausgabe 2014 wurde die ISO 27001 vollständig überarbeitet und sowohl inhaltlich als auch strukturell völlig neu aufgebaut.
Worin besteht die Intention der Überarbeitung ?
Die gute Nachricht zuerst: Auch die neue Version der ISO 27001 beschreibt immer noch die Anforderungen an ein Informationsmanagementsystem (ISMS). Ansonsten blieb jedoch kaum ein Stein auf dem Anderen, denn die Norm wurde durchgängig den Anforderungen für die Normierung von Managementsystemen angepasst und erhielt damit sowohl strukturell als auch inhaltlich wesentliche Änderungen. Wer allerdings die bereits gemäß den Anforderungen an Managementsysteme aufgebauten Normen kennt – hier ist das beste Beispiel natürlich die Qualitätsmanagement-Norm ISO 9001 – wird viele Aspekte wiedererkennen und die Logik des neuen Aufbaus erheblich leichter nachvollziehen können.
IHRE VORLAGE: Möchten Sie einen genauen Vergleich zwischen der ISO 27001 Revision 2008 und der ISO 27001 Revision 2013 erhalten und wissen was sich auch für Ihr Unternehmen geändert hat? Dann nutzen Sie die vorgefertigte Vorlage Änderungsübersicht ISMS ISO 27001:2013 inkl. Implementierungsleitfaden.
Konsequenzen der Überarbeitung für zertifizierte Organisationen
Natürlich stellen die genannten Punkte keine abschließende Feststellung aller Änderungen der Neufassung der ISO 27001:2008 dar, sondern sie sind Orientierungshilfen, mit denen die Auswirkungen auf die jeweilige Organisation beurteilt werden können. Grundsätzlich ist bei einem bereits implementierten ISMS der Scope bezüglich seiner Herleitung zu prüfen und nun zusätzlich in Bezug zur Strategie des Unternehmens und den Interessen betroffener Parteien zu setzen. Die Anforderungen an die Dokumentation im Rahmen des ISMS sind ausdrücklicher – ggf. muss die Organisation entsprechend der prozessualen Ausgestaltung Anpassungen umsetzen. Durch diese Umsetzung genügt die Organisation der Anforderung an ein dokumentiertes Managementsystem.
Die Maßnahmen des Annex A und damit die SOA müssen immer angefasst und im Sinne der ISO 27001:2014 überprüft werden.
Wie sieht die Roadmap der Umsetzung ISO 27001:2008 <-> ISO 27001:2014 genau aus?
Die Original-Version der ISO 27001:2013 wurde am 01.10.2013 veröffentlicht (der Entwurf der deutschen Übersetzung, der für den vorliegenden Umsetzungsleitfaden als Grundlage diente, wurde im Februar 2014 veröffentlicht und hatte eine Einspruchsfrist bis zum 10.03.2014). Bis zum 01.10.2014 kann eine Zertifizierung auch noch nach dem Standard der ISO 27001:2008 durchgeführt werden.
Bis zum 01.10.2015 müssen jedoch alle bereits zertifizierten Managementsysteme auf die neue Version angepasst sein – die Version ISO 27001:2008 verliert zu diesem Stichtag ihre Gültigkeit (länger gültige Zertifikate nach dieser Version allerdings nicht, diese können aber nicht mehr rezertifiziert werden).
[column col=“2/3″]IHR VORLAGEN-PAKET: Nutzen Sie gleich das passende Auditpaket ISO 27001 in Ihrem Unternehmen – und haben Sie direkt aufeinander abgestimmte Vorlagen, Checklisten und Formblätter zur Hand.[/column][column col=“1/3″][button color=“#ffffff“ background=“#ff5d02″ size=“large“ src=“https://www.iso27001-it-sicherheit.de/vorlagen_isms/paket_audit_iso_27001/“]Zum Vorlagenpaket[/button]
[/column][space height=““]
[divider scroll_text=““][space height=“40″]
Hier die wichtigsten Änderungen im Fokus
[accordion]
[acc_item title=“1. Struktur der Norm & Begriffe“]
Die Struktur der ISO 27001 wurde den Anforderungen der ISO Management System Standards (Anhang SL der ISO/IEC Direktiven) angepasst. Das bedeutet allerdings, dass nicht nur strukturelle Änderungen vorgenommen wurden, sondern die ISO 27001 sich nun auch inhaltlich wesentlich stärker an den Vorgaben zur Implementierung und Aufrechterhaltung eines Managementsystems orientiert.
Hieraus resultiert auch der Wegfall des prozessorientierten Ansatzes, der in der alten Version noch ausführlich beschrieben wurde. Für die Umsetzung eines Managementsystems würde er nicht mehr ausreichen – dagegen ist die neue Norm inhaltlich stärker prozessual ausgeprägt und richtet sich deshalb implizit an einem PDCA („Plan-Do-Check-Act“)-Zyklus aus.
Abschnitt 3 ist inhaltlich vollständig weggefallen – er wird mit dem Verweis auf die (umfangreichere) ISO 27000 ersetzt.
[/acc_item]
[acc_item title=“2. Inhaltliche Änderungen der Abschnitte“]
Die Gegenüberstellung der alten und neuen ISO 27001 findet sich in der tabellarischen Übersicht dieses Dokumentes – ausgerichtet an den Inhalten der ISO 27001:2008. Da aber die neue Version in allen Abschnitten durchaus auch einen neuen Anspruch (immer mit dem Hintergrund der Anforderungen an ein Managementsystem) enthält, sind hier nachfolgend die wesentlichen Aussagen aufgeführt:
3.1 Abschnitt 4: Kontext der Organisation
Der komplette Abschnitt beschäftigt sich mit den Rahmenbedingungen und Einflüssen, die für die Festlegung eines ISMS berücksichtigt werden müssen und erforderlich sind.
3.2 Abschnitt 5: Führung
Aufgaben und Verpflichtungen der Leitung – nicht nur im Zusammenhang mit der Implementierung eines ISMS, sondern auch im Rahmen der Aufrechterhaltung und Verbesserung – werden erheblich stärker und konkreter beschrieben.
3.3 Abschnitt 6: Planung
Der Abschnitt enthält die „Spielregeln“ des ISMS, d. h. hier befinden sich alle Vorgaben und Anforderungen an die Prozesse, über die das ISMS auszuprägen ist (z. B. Risikoeinschätzung, Risikobehandlung usw.)
3.4 Abschnitt 7: Unterstützung
In diesem Abschnitt sind alle Themen zusammengefasst, die zur Implementierung und Aufrechterhaltung, sowie der kontinuierlichen Verbesserung dienlich sind (z. B. Ressourcen, Kompetenz, dokumentierte Informationen usw.)
3.5 Abschnitt 8: Einsatz
Hier findet sich die Operationalisierung des Abschnittes 6 als Kaskade in die Organisation – aber immer unter Berücksichtigung der Inhalte der Abschnitte 4 und 5.
3.6 Abschnitt 9: Leistungsauswertung
Dieser Abschnitt stellt die Leistung und Wirksamkeit des ISMS sicher. Unter dem Aspekt werden auch die Themen „Internes Audit“ und „Prüfung der Leitung“ (früher: Managementbewertung) betrachtet.
3.7 Abschnitt 10: Verbesserung
Der Abschnitt zieht sich fast ausschließlich auf den Umgang mit Fehlern und Korrekturen zurück. Die tatsächliche laufende Verbesserung ist bereits in der Planung des Managementsystems in Abschnitt 6 enthalten.
[/acc_item]
[acc_item title=“3. Der Annex A der ISO 27001″]
Obwohl sich die Maßnahmen des Annex A weiterhin auf einer operativen Ebene befinden, ist die Umsetzung eines Managementsystems in vielen Fällen deutlich hervorgehoben. Eindeutige Verpflichtungen in einer Kaskadierung von der Strategie der Leitung bis zu den Verantwortlichkeiten auf Mitarbeiterebene finden sich in vielen Abschnitten.
Eine wesentliche Änderung ist die Forderung der ersten Maßnahme des Annex A: Statt einer einzigen Leitlinie ist nun ein „Satz von Informationssicherheitsleitlinien“ festzulegen. Dieser „Satz“ ist nicht der jeweiligen Organisation überlassen, sondern stellt sich aus den Anforderungen aller Maßnahmen zusammen. Nachfolgend aufgelistet sind sowohl die geforderten Leitlinien, als auch sonstige erforderliche Dokumentationen:
Leitlinien
• Leitlinie zur Nutzung von Mobilgeräten (A 6.2.1)
• Leitlinie für Telearbeit (A 6.2.2)
• Zugriffskontrollleitlinie (A 9.1.1, 9.4.1 und 9.4.2)
• Leitlinie zur Verwendung von kryptographischen Maßnahmen (A 10.1.1) und Schlüsseln (A 10.1.2)
• Leitlinie für die Informationsübertragung (A 13.2.1)
• Leitlinie für Lieferantenbeziehungen (A 15.1.1)
Richtlinien/Regelungen/Verfahren
• Regelung für den Gebrauch von Informationen und Werten (A 8.1.3)
• Verfahren zur Kennzeichnung von Informationen (A 8.2.2)
• Verfahren zum Umgang mit Werten (A 8.2.3)
• Verfahren für die Verwaltung von Wechselmedien (A 8.3.1)
• Verfahren zur Benutzerverwaltung (A 9.2.1)
• Richtlinien für die Arbeit in Sicherheitsbereichen (A 11.1.5)
• Regelung zu Software-Installationen durch Benutzer (A 12.6.2)
• Regelung für die Software- und System-Entwicklung (A 14.2.1)
• Verfahren bei Informationssicherheitsvorfällen (A 16.1.15)
• Verfahren zum Business Continuity Management für Informationssicherheit (A 17.1.1)
Sonstige Dokumentationen
• Dokumentation der Betriebsverfahren (A 12.1.1)
• Dokumentation gesetzlicher, amtlicher und vertraglicher Anforderungen (A 18.2.1)
[/acc_item]
[/accordion]
| Abschnitt | ISO 27001:2008 (wesentliche Forderung des jeweiligen Abschnitts) | Abschnitt | ISO 27001:2013 (wesentliche Forderung des jeweiligen Abschnitts) | Interpretation der Änderungen |
|---|---|---|---|---|
| 4.1 | Allgemeine Anforderungen Ein dokumentiertes ISMS im Kontext der allgemeinen Geschäftsaktivitäten und der Risiken, derer man sich gegenübersieht, wurde: • festlegt, • umsetzt, • durchführt, • überwacht, • überprüft, • instandgehalten und • verbessert | 4.4 | Informationssicherheitsmanagementsystem Die Organisation hat ein Informations- sicherheitsmanagementsystem nach den Anforderungen dieser Internationalen Norm • eingerichtet, • implementiert, • aufrechterhalten und • laufend verbessert | In den allgemeinen Grundanforderungen an ein ISMS gem. DIN ISO/IEC 27001:2014 gibt es, abgesehen von sprachlichen Konkretisierungen, keine grundlegenden Änderungen. |
| 5.3 | a) Das Informationssicherheitsmanagement- system entspricht den Anforderungen dieser Internationalen Norm | |||
| 4.2.1 a) | Anwendungsbereich und Grenzen des ISMS wurden, unter Berücksichtigung der Eigenschaften des Geschäftes, der Organisation, ihres Standortes, ihrer Werte und ihrer Technologie definiert. | 4.1 | Verständnis der Organisation und ihres Kontexts Die Organisation hat festgelegt, welche externen und internen Angelegenheiten für ihren Zweck relevant sind und sich auf ihre Fähigkeit auswirken, die beabsichtigten Ergebnisse ihres ISMS zu erreichen. | Die Normforderung, Anwendungsbereich und Grenzen eines ISMS gem. DIN ISO/IEC 27001:2014 zu bestimmen, wurden grundlegend erweitert. Das Scoping eines ISMS darf nicht mehr ausschließlich aus den Einschätzungen des Unternehmens heraus erfolgen, sondern erfordert eine umfängliche Berücksichtigung von äußeren und inneren Rahmenbedingungen. Sowohl das Verständnis hinsichtlich des internen Kontextes der Organisation, als auch die Anforderungen und Bedürfnisse von externen Parteien müssen für das Scoping berücksichtigt werden und führen somit zum erforderlichen Anwendungsbereich und den Grenzen des zu implementierenden ISMS. Darüber hinaus gibt es eine zusätzliche Forderung, die die Organisation verpflichtet auch Schnittstellen und deren Wechselwirkungen mit beteiligten Organisationen beim Scoping zu berücksichtigen. Der Geltungsbereich und seine Ermittlung werden als dokumentierte Information erwartet. |
| 4.2 | Verständnis der Bedürfnisse und Erwartungen interessierter Parteien Die Organisation hat: • interessierte Parteien, die im Hinblick auf das ISMS relevant sind und • die Anforderungen dieser interessierten Parteien in Bezug auf die Informationssicherheit festgelegt | |||
| 4.3 | Festlegung des Geltungsbereichs des Informationssicherheitsmanagementsystems Die Organisation hat die Grenzen und die Anwendbarkeit des ISMS und damit seinen Geltungsbereich unter Berücksichtigung von • in 4.1 genannten externen und internen Angelegenheiten, • in 4.2 genannten Anforderungen und • Schnittstellen und Abhängigkeits-verhältnissen zwischen Tätigkeiten, die von der Organisation selbst durchgeführt werden, und Tätigkeiten anderer Organisationen festgelegt. Der Geltungsbereich liegt als dokumentierte Information vor. | |||
| 4.2.1 b) | Die ISMS-Leitlinie wurde unter Berücksichtigung der Eigenschaften des Geschäfts, der Organisation, ihres Standorts, ihrer Werte und ihrer Technologie definiert. Die Leitlinie • gibt Rahmen und generelle Richtung für die Zielsetzung vor • legt Grundsätze für Aktionen hinsichtlich Informationssicherheit fest • berücksichtigt geschäftliche, gesetzliche bzw. amtliche Anforderungen und vertragliche Sicherheitsverpflichtungen • ist mit dem strategischen Risikomanagementkontext der Organisation abgestimmt, in dem die Einrichtung und Instandhaltung des ISMS erfolgen wird • beinhaltet festgelegte Risikobewertungskriterien • ist vom Management genehmigt | 5.2 | [column col="2/3"]Sie wollen die vollständige Übersicht aller Änderungen der ISO 27001:2013? Dann holen Sie sich hier die Vorlage IT Revision ISO 27001 : 2013 - ISMS Leitfaden![/column] | |
| 5.2 e)-g) | ||||
| 5.2 a) | ||||
| 5.2 b) | ||||
| 5.2 c) | ||||
| 5.2 d) | ||||
