ISO/IEC 27001: Revision 2013 publiziert

Ende September wurde von der ISO (International Organization for Standardization) die überarbeitete Revision des internationalen Standards ISO/IEC 27001 publiziert.

ISO/IEC 27001 beschreibt die Anforderungen an die Etablierung, Umsetzung, Instandhaltung und kontinuierliche Verbesserung eines Information Security Management Systems (ISMS).

isms.png

Was ist neu an der Revision 2013?

  • Wie erwartet entspricht die Struktur den Richtlinien des Annex SL der ISO. Der Annex SL definiert eine identische Struktur, identische Texte sowie allgemeine Begriffe und Definitionen für Managementsystem Standards. Dies ermöglicht eine einfachere Integration bei der Implementation mehrerer Managementsysteme innerhalb einer Organisation.

    Struktur:
      Clause 1 - Scope
      Clause 2 - Normative references
      C
    lause 3 - Terms and definitions
      Clause 4 - Context of the organization
      C
    lause 5 - Leadership
      Clause 6 - Planning
      Clause 7 - Support
      Clause 8 - Operation
      Clause 9 - Performance evaluation
      Clause 10 - Improvement

    Beispiel für identische Definitionen: 
    Organization, interested party, policy, objective, competence, conformity.

    Beispiel für identische Texte: 
    Top management shall ensure that the responsibilities and authorities for relevant roles are assigned and communicated within the organization.

    Bis anhin sind fünf Managementsystem Standards in dieser vereinheitlichten Struktur publiziert worden. Weitere Standards wie ISO/IEC 20000-1, ISO 9001 und 14001 werden im Rahmen der jeweiligen nächsten Überarbeitung ebenfalls an diese Struktur angepasst. 

  • Änderungen an der Terminologie wurden vorgenommen und einige Definitionen entfernt oder verschoben. Kapitel 3 'Terms and Definitions' verweist direkt auf ISO/IEC 27000 und führt keine eigenen Begriffsdefinitionen auf.

  • Die Anforderungen an die Risikobewertung wurden an ISO 31000 angeglichen.

  • Die Anforderungen an die Managementverantwortung haben den Schwerpunkt auf 'Leadership' und 'Führung'.

  • Vorbeugende Massnahmen wurden ersetzt mit 'Massnahmen zur Adressierung von Risiken und Chancen'.

  • Die Anforderungen an das Statement-of-Applicability (SOA) haben sich nicht wesentlich geändert. Allerdings besteht mehr Klarheit bezüglich der Notwendigkeit, die Massnahmen über den Prozess zur Risikobehandlung zu bestimmen.

  • Die Massnahmen aus Annex A wurden überarbeitet um die veränderte Bedrohungslage besser zu widerspiegeln, Duplikate wurden entfernt und der gesamte Annex A etwas logischer gruppiert. Im Bereich der Kryptographie und der Sicherheit in Lieferantenbeziehungen wurden Massnahmen hinzugefügt. Der Annex umfasst neu 14 Abschnitte, also 3 mehr als die Revision 2005. Insgesamt hat sich die Zahl der Massnahmen allerdings von 133 auf 114 verringert. Dies durch die Elimination von Massnahmen, welche zu spezifisch oder veraltet waren.

  • Insgesamt wird das Setzen von Zielen, die Leistungsüberwachung und die Metriken stärker betont.

  • Ebenso findet sich kein expliziter Verweis auf das PDCA Modell mehr. Wobei klar sein muss, dass die kontinuierliche Verbesserung ein elementares Prinzip jedes Managementsystems ist. Entsprechend wird die Thematik 'Verbesserung' in einem eigenen Kapitel behandelt.

Zeitgleich wurde auch die ISO/IEC 27002:2013, der Code of Practice zu ISO/IEC 27001, publiziert.

Beide Publikationen sind zur Zeit in englischer Sprache verfügbar. Es kann davon ausgegangen werden, dass die ISO/IEC 27001:2013, wie bereits ihre Vorgängerversion aus dem Jahre 2005, in das deutsche Normenwerk übernommen wird und entsprechend in einer deutschen Fassung als DIN Norm publiziert wird. Zu welchem Zeitpunkt dies der Fall sein wird, ist allerdings zum jetzigen Zeitpunkt offen. Die deutsche Fassung der ISO/IEC 27001:2005 erschien erst 2008, also drei Jahre später.

Was bedeuten die Neuerungen für zertifizierte Organisationen?

Organisationen, die heute gegenüber der Revision 2005 zertifiziert sind, werden erfahrungsgemäss ein bis zwei Jahre Zeit haben um ihr ISMS auf die Anforderungen der Revision 2013 anzupassen. Die genauen Übergangsfristen müssen durch die Akkreditierungsstellen noch festgelegt werden.

Organisationen, welche im Begriff sind ein ISMS gemäss ISO/IEC 27001 zu implementieren, ist zu empfehlen, dieses bereits an die Anforderungen der Revision 2013 auszurichten.