Seit 1. Okt. 2013 ist der neue Standard ISO/IEC 27001:2013 verbindlich anzuwenden und ersetzt seitdem den Vorläufer ISO/IEC 27001:2005. 2005er Zertifizierungen behalten aber bis zu ihrem Ablauf noch ihre Gültigkeit. Zum 25. September diesen Jahres müssen diese aber auf 2013 angepasst werden. Wo liegen die wichtigsten Unterschiede zwischen der alten und neuen Version?
WAS HAT SICH GEÄNDERT
Zu den wichtigsten Änderungen zählen die Überarbeitung und Ergänzung von Definitionen. Es wurden neue Klauseln geschaffen, durch anpassen der Kontrollen Definitionen klarer formuliert und vor allem Zielfestlegung sowie Leistungs- und Werteüberwachung stärker in den Fokus genommen. Zwar ist die Anzahl der Kapitel um zwei und die Anzahl der Control Sections um 4 gestiegen, gleichzeitig wurden aber die Control Objectives und Controls um 10-20 Prozent gesenkt.
Dejan Kosutic von der 27001 Academy hat die wichtigsten Überschneidungen und Änderungen in einer übersichtlichen Grafik zusammengefasst:
FAZIT
Die Überarbeitung des Standards für Informationssicherheit ist durchaus sinnvoll. Wer also dieses Jahr auf 2013 umsatteln muss, sollte sich nicht sträuben. Die Fokussierung auf die Risiken stellt eine deutliche und sinnvolle Anpassung dar. Hierdurch wird nicht mehr nur „stur“ nach der Erfüllung von Kontrollen gefragt. So lassen sich die Kontrollziele sofort besser fokussieren und mit den erarbeiteten Risiken vergleichen. Mit Version 2013 kann endlich explizit nach den definierten Risiken geschaut werden. Die Fragen, welche Risiken hat das Unternehmen identifiziert und wie, bzw. mit welcher Kontrolle reagiert es darauf, lassen sich effizienter und zielführender beantworten. In der 2005er Version wurde hingegen gefragt, welche Kontrollen hat das Unternehmen implementiert und welche Risiken können damit abgedeckt werden.
Risiken beschreiben in der Regel mögliche Ursachen für Unterbrechungen in den IT Services. Hier werden Brücken zum Risk Management und zum Business Continuity Management geschlagen. Durch die Umstellung auf 2013 kommt dem SOA (Statement of Applicability) eine wesentlich höhere Bedeutung als früher zu. Durch den risikoorientierten Ansatz der Version 2013 müssen nicht mehr alle Controls berücksichtig werden, da ja auch nicht jedes Unternehmen den Risiken unterliegt, die durch die Controls abgedeckt werden.
Unternehmen die sich durch einen Geschäftspartner eine ISO 27001 Zertifizierung vorlegen lassen, lassen sich deshalb zumeist nicht nur die Urkunde sondern mindestens auch Informationen zum SOA mit vorlegen, um zu sehen, welche Sections der ISO 27001 bei der Zertifizierung berücksichtigt wurden.
Die BSI Group hat hierzu zwei hilfreiche Dokumente veröffentlicht: