ISO 27001 wird novelliert: Neue Anforderungen an IT-Sicherheit

Die ISO 27001 trägt wirkungsvoll zum Schutz von Informationen bei. Jetzt wurde die IT-Sicherheitsnorm erstmals novelliert. Die neue Struktur legt Augenmerk auf ein gutes Risikomanagement und erleichtert auch kleineren Betrieben den Einstieg in die IT-Sicherheit.

Die ISO 27001 trägt wirkungsvoll zum Schutz von Informationen bei. Jetzt wurde die IT-Sicherheitsnorm erstmals novelliert. Die neue Struktur legt Augenmerk auf ein gutes Risikomanagement und erleichtert auch kleineren Betrieben den Einstieg in die IT-Sicherheit.

Die ISO 27001:2013 wurde an die High Level Struktur angepasst, weite Teile des Regelwerks sind also identisch mit anderen Managementsystemanforderungen, wie beispielsweise der ISO 9001. Durch die High Level Struktur wird eine deutlich klarere Definition von Verantwortlichkeiten für einzelne Aktionen gefordert als bisher. Auch die oberste Führungsebene des jeweiligen Unternehmens wird stärker einbezogen. Die Schwerpunkte wurden neu gewichtet, beispielsweise wird anstelle spezifischer ISMS-Kernanforderungen die Dokumentation nun als eine der Support-Anforderungen verstanden. „Wir begrüßen diesen Schritt, da damit das Kerngeschäft, das Business der Organisation und nicht die Dokumente in den Vordergrund rücken. Es geht um ein Informationsmanagementsystem der jeweiligen Organisation und nicht um ein Dokumenten-Managementsystem“, sagt Claudia Käsehagen, Fachbereichsleiterin Qualität & Sicherheit bei TÜV NORD.

Neu sind auch die Anforderungen an die Risikokontrolle. Sie wurden an den Risikomanagement-Standard ISO 31000 angepasst und sind damit deutlich anspruchsvoller als bisher. Insgesamt genießen die zertifizierten Unternehmen mehr Flexibilität als bisher, sie erfahren allerdings auch weniger inhaltliche Führung durch die Norm.

Zertifizierungen nach der neuen ISO 27001:2013 sind ab sofort möglich. Begonnene Zertifizierungsprozesse dürfen für eine Übergangszeit wie geplant fortgesetzt werden und können zu jedem Überwachungsaudit umgestellt werden. Die Übergangsfrist für bestehende Zertifikate nach der Vorgängernorm endet am 1. Oktober 2015. Ab Oktober 2014 dürfen bei Erst- und Re-Zertifizierung nur noch Zertifikate auf der Grundlage der neuen Norm ausgestellt werden. „Die Umstellung erfolgt auf Basis eines Audits im Unternehmen“, so Claudia Käsehagen.

Nähere Informationen erhalten Interessenten auch unter: http://www.dakks.de/content/informationssicherheits-management-umstellung-auf-die-neue-isoiec-270012013

Über die TÜV NORD GROUP

Die TÜV NORD GROUP ist mit über 10.000 Mitarbeitern einer der größten technischen Dienstleister. Mit ihrer Beratungs-, Service- und Prüfkompetenz ist sie weltweit in 70 Ländern aktiv. Zu den Geschäftsbereichen gehören Industrie Service, Mobilität, IT und Bildung. Mit Dienstleistungen in den Bereichen Rohstoffe und Aerospace hat der Konzern ein Alleinstellungsmerkmal in der gesamten Branche.

Leitmotiv: „Excellence for your business.“