Neuerungen der ISO 27001:2013 - Die wichtigsten Fakten

1.   Welche Fristen bzw. Übergangsfristen sind zu beachten?

  • ab sofort:
    • Möglichkeit zur Zertifizierung nach ISO/IEC 27001:2013
  • 1. Oktober 2014:
    • Erst- und Re-Zertifizierungen können nur noch gemäß ISO/IEC 27001:2013 durchgeführt werden
  • 30. September 2015:
    • Letzte Möglichkeit zum Abschluss von Überwachungsaudits nach ISO/IEC 27001:2005 bei bestehenden Zertifikaten
  • bis 30. Sept. 2015:
    • Durchführung eines "Delta-Audits" (Delta zwischen ISO/IEC 27001:2005 und :2013), sofern keine (Re-) Zertifizierung nach neuer Norm durchgeführt wurde
  • 1. Oktober 2015:
    • Verlust der Gültigkeit von Zertifikaten gemäß ISO/IEC 27001:2005

2.   Was ist neu in der ISO/IEC 27001:2013?

  1. Die Struktur des Managementrahmens wurde komplett überarbeitet und entspricht nun den Vorgaben des Annex SL der ISO/IEC Directives Part 1.
  2. Im Annex A wurde zur Überwachung der Tätigkeiten von Lieferanten ein eigenes Kapitel eingefügt.
  3. Der PDCA-Zyklus (Plan-Do-Check-Act) ist nicht mehr zwingend vorgeschrieben. Nunmehr können auch andere Prozesse zur "kontinuierlichen Verbesserung" genutzt werden.
  4. Die Anforderungen an das Umfeld des Informationssicherheits-Managementsystems (ISMS) und an den Scope werden stärker definiert. Die Anforderungen aller relevanten externen Beteiligten ("interested parties") müssen als Teil des ISMS beschrieben werden. Somit ist die Scope-Beschreibung nun "weniger frei".
  5. Der Risikoansatz wurde geändert: Nach ISO/IEC 27001:2013 ist die Risikobewertung und -behandlung in Anlehnung an den Risiko-Management-Standard ISO 31000 durchzuführen.
  6. Das Thema "Überwachung und Effizienz des ISMS" hat ein eigenes (Unter-) Kapitel erhalten. Ein Unternehmen muss nun die Effizienz der umgesetzten Controls identifizieren, beschreiben und dokumentieren. Es müssen sog. KPIs ("Key Performance Indicators") entwickelt werden.
  7. Ferner wurden 11 zusätzliche Controls aufgenommen (dafür wurden 20 entfernt):
    1. Sicherheit im Projektmanagement,
    2. Softwareinstallation des Users,
    3. Richtlinien zur Sicherheit von Entwicklungen,
    4. Sicherheit bei der Entwicklung von Systemen,
    5. Sichere Entwicklungsumgebung
    6. Sicherheitstests von Entwicklungen,
    7. Sicherheit bei Tätigkeiten von Lieferanten,
    8. Risiken bei der Verlagerung von Tätigkeiten auf den Lieferanten,
    9. Analyse von Sicherheitsvorfällen
    10. Umgang mit Sicherheitsvorfällen
    11. Verfügbarkeit von Informationsverarbeitungsanlagen

3.   Wie sieht die Inhaltsstruktur der neuen ISO/IEC 27001:2013 aus? [im Fettdruck hervorgehobene Passagen sind Neuerungen]

  • Managementkapitel
    • 4 Context of the organization / Kontext der Organisation
    • 5 Leadership / Führung
    • 6 Planning / Planung
    • 7 Support / Unterstützung
    • 8 Operation / Betrieb
    • 9 Performance Evaluation / Leistungsauswertung
    • 10 Improvement / Verbesserung
  • Annex A
    • A.5 Information security policies / Sicherheitsleitlinien
    • A.6 Organization of information security / Organisation der Informationssicherheit
    • A.7 Human resource security / Personal und Sicherheit
    • A.8 Asset management / Management der Werte
    • A.9 Access control / Zugriffsüberwachung
    • A.10 Cryptography / Kryptographie
    • A.11 Physical and environmental security / Physische und umweltbezogene Sicherheit
    • A.12 Operations security / Sicherheit des Betriebes
    • A.13 Communications security / Sicherheit in der Kommunikation
    • A.14 System acquisition, development and maintenance / Beschaffung, Entwicklung und Instandhaltung von Systemen
    • A.15 Supplier relationships / Lieferantenbeziehungen
    • A.16 Information security incident management / Management von Informationssicherheitsvorfällen
    • A.17 Information security aspects of business continuity management / Informationssicherheitsaspekte des Business Continuity Managements
    • A.18 Compliance / Richtlinienkonformität

4.   Welche Konsequenzen ergeben sich aus der Normänderung? Es sind im Zusammenhang mit den Normänderungen folgendes Vorgehen zu empfehlen:

  1. Es sollte zeitnah ein internes Audit gemäß der neuen Norm durchgeführt werden; unabhängig von den o. g. Übergangsfristen. Der daraus resultierende Maßnahmenkatalog zeigt die etwaigen (zusätzlichen) Anforderungen an das ISMS gemäß neuer Norm auf.
  2. Die betroffenen Mitarbeiter sollten nach neuer Norm entsprechend geschult werden.
  3. Bei bestehenden Zertifikaten ist anhand der Ergebnisses des o. g. internen Audits zu prüfen,
    • ob eine sofortige Umstellung des Überwachungs-Audits oder
    • eine spätere Umstellung nach einer entsprechenden Vorbereitung sinnvoll ist.
  4. Es sind Überlegungen hinsichtlich der Umsetzung der neuen Anforderungen wie beispielsweise KPIs ("Key Performance Indicators") oder "Risk-Management" vorzunehmen.

5.   Warum sollte ich mich schon jetzt um die neue Norm kümmern? Eine Umstellung ist zwingend spätestens im kommenden Jahr erforderlich. Durch eine rechtzeitige Umstellung ist es Ihnen möglich, sich einerseits frühzeitig um die erforderlichen Änderungen zu kümmern und andererseits zu prüfen, ob eine sofortige Umstellung auch bei den Überwachungsaudits sinnvoll ist.

Sofern Sie Fragen zur Umstellung der Norm, den Konsequenzen oder den Unterstützungsmöglichkeiten durch die UIMCert haben, können Sie gerne auf uns zukommen.