AKTUELLE NEWS

ISO 27001:2013 - Neue Version des ISO-Standards enthält einige Änderungen

17. Oktober 2013

 

Nach 8 Jahren wurden die neuen Fassungen der Standards ISO 27001 und ISO 27002 veröffentlicht. Wie bereits in der ersten Überarbeitung, die im Jahr 2005 veröffentlicht wurde, sind zahlreiche, wesentliche Änderungen in den Standard eingeflossen.

 

Die Struktur der ISO/IEC 27001:2013 orientiert sich jetzt an den Anforderungen des Annex SL der Direktiven der internationalen Standardorganisation (ISO). Dies ermöglicht eine einfachere Integration bei der Implementation mehrerer Managementsysteme innerhalb einer Organisation. ISO/IEC 27001 beschreibt die Anforderungen an die Etablierung, Umsetzung, Instandhaltung und kontinuierliche Verbesserung eines Information Security Management Systems (ISMS).

 

Was sind die wesentlichen Änderungen?

  • Änderungen an der Terminologie wurden vorgenommen und einige Definitionen entfernt oder verschoben. Kapitel 3 'Terms and Definitions' verweist direkt auf ISO/IEC 27000 und führt keine eigenen Begriffsdefinitionen auf. 

  • Die Anforderungen an die Risikobewertung wurden an ISO 31000 angeglichen. 

  • Die Anforderungen an die Managementverantwortung haben den Schwerpunkt auf 'Leadership' und 'Führung'. 

  • Vorbeugende Massnahmen wurden ersetzt mit 'Massnahmen zur Adressierung von Risiken und Chancen'. 

  • Die Anforderungen an das Statement-of-Applicability (SOA) haben sich nicht wesentlich geändert. Allerdings besteht mehr Klarheit bezüglich der Notwendigkeit, die Massnahmen über den Prozess zur Risikobehandlung zu bestimmen. 

  • Die Massnahmen aus Annex A wurden überarbeitet um die veränderte Bedrohungslage besser zu widerspiegeln, Duplikate wurden entfernt und der gesamte Annex A etwas logischer gruppiert. Im Bereich der Kryptographie und der Sicherheit in Lieferantenbeziehungen wurden Massnahmen hinzugefügt. Der Annex umfasst neu 14 Abschnitte, also 3 mehr als die Revision 2005. Insgesamt hat sich die Zahl der Massnahmen allerdings von 133 auf 114 verringert. Dies durch die Elimination von Massnahmen, welche zu spezifisch oder veraltet waren. 

  • Insgesamt wird das Setzen von Zielen, die Leistungsüberwachung und die Metriken stärker betont. 

  • Ebenso findet sich kein expliziter Verweis auf das PDCA Modell mehr. Wobei klar sein muss, dass die kontinuierliche Verbesserung ein elementares Prinzip jedes Managementsystems ist. Entsprechend wird die Thematik 'Verbesserung' in einem eigenen Kapitel behandelt.

  • Die Anforderungen für die Durchführung von Risk Assessments wurden entschärft. So können nun auch bereits vorhandene Methoden für Risk Assessments verwendet werden.

 

Die ISO/IEC 27002:2013 hat eine weitreichende Überarbeitung erfahren. Insgesamt entstand eine angepasste Struktur für die nunmehr 114 Controls des Standards. Viele Maßnahmen werden jetzt stärker als Policy gefordert, so zum Beispiel im Bereich Softwareentwicklung, da es spezifische Rahmenwerke für sichere Softwareentwicklung gibt. Dafür wird der Aspekt, das auch Software die z.B. innerhalb von Büroanwendungen erstellt wurde, mit betrachtet werden müssen.

 

Organisationen, welche im Begriff sind ein ISMS gemäss ISO/IEC 27001 zu implementieren, ist zu empfehlen, dieses bereits an die Anforderungen der Revision 2013 auszurichten.

Mit einem Anruf sind Sie besser beraten: +43 (0)463 276376

by secriso Consulting GmbH

Österreich | Austria

All rights reserved.

Social Web: