ISO/IEC 27001:2005 zu 27001:2013 Transition

Was hat sich geändert?

Am auffälligsten ist die erhöhte Kapitelanzahl, die sich nun an der neuen, verbindlichen High Level Struktur („Annex SL“) für die Gestaltung von ISO Normen ausrichtet. Sie erlaubt die einfache Integration eines Managementsystems in ein oder mehrere bereits vorhandene.

Neben einigen interessanten begrifflichen Änderungen (der Term „Vorbeugungsmaßnahmen“ findet sich nicht mehr in der Norm) gibt es nun eine klare Empfehlung der Ausrichtung der Methode der Risikoeinschätzung nach ISO 31000:2009 – mit Folgen in der praktischen Umsetzung.

Die Anzahl der vorgeschlagenen Steuerungsmaßnahmen in der Erklärung zur Anwendbarkeit (SoA) reduziert sich von früher 133 auf heute 114, verteilt jedoch auf 14 im Vergleich zu früher 11 Maßnahmengruppen. Daraus lässt sich unschwer ableiten, dass neue Themen (wie z.B. Projekt- und Lieferantenmanagement) Eingang in die Norm gefunden haben müssen.

Interessant ist in jedem Fall die Konzentration auf die Anforderungen interessierter Parteien als Grundlage eines ISMS wie auch deren Widerspiegelung in den Managementzielen der sich im Anwendungsbereich befindlichen Organisation.

Mit welchen Aufwänden haben Sie zu rechnen?

Nun, diese Frage ist nicht so ohne weiteres zu beantworten. Da die Implementierung eines Managementsystems nach internationalem Standard einen gewollt breiten Raum an Gestaltungsmöglichkeit bietet (und innerhalb dessen im Übrigen auch zertifizierungswürdig ist), hängt es von der Art des vorliegenden Informationssicherheitsmanagementsystems ab. Fand bei der Implementierung der integrative Ansatz Anwendung, halten sich die Anpassungen sehr in Grenzen. Wurde ein eher freier Ansatz bevorzugt, können die Aufwände an externer Hilfe schon deutlich im zweistelligen Tagesbereich liegen.

Grundsätzlich gilt: Reibungs- und damit Effizienzverluste entstehen vor allem im Schnittstellenbereich. Wurden sie vorab nach internationalem Standard ausgerichtet, zumindest jedoch klar definiert, reduziert sich der nun folgende Aufwand beim Wechsel auf einen etwas erhöhten, ohnehin nötigen Pflegeaufwand.

Kunden der Münch Management Consultancy, soweit sei zur Beruhigung vorweggenommen, dürfen sich entspannt zurücklehnen: durch die Wahl des integrativen Ansatzes nach PAS 99 während der Implementierung erfolgen die Anpassungen im Rahmen der jährlichen Pflege des Managementsystems, unabhängig von der Art und Größe der Organisation.

Bis wann müssen Sie wechseln?

Der Schwenk auf die neue ISO 27001:2013 muss bis zum 1. Oktober 2015 abgeschlossen sein.

Sie sollten daher den Wechsel so gestalten, dass das nächstliegende Überwachungsaudit zu diesem Termin bereits entlang des neuen Standards abgeschlossen sein wird. Zertifizierungen bzw. Rezertifizierungen erfolgen ohnehin, von wenigen begründeten Ausnahmen abgesehen, bereits entlang der neuen ISO 27001:2013.

Sie haben noch Fragen?

Gerne stehen wir Ihnen hierfür zur Verfügung. Kontaktieren Sie uns doch einfach formlos und völlig unverbindlich unter: info@mmconsultancy.de

Denn beachten Sie: Fragen kosten nichts – im Gegensatz zu fehlenden Antworten!