Änderungen ISO 27001: 2013

Größe: px

Ab Seite anzeigen:

Download "Änderungen ISO 27001: 2013"

Paula Junge
vor 8 Jahren
Abrufe

1 Änderungen ISO 27001: 2013 Loomans & Matz AG August-Horch-Str. 6a, Mainz Deutschland Tel ;

2 Die neue Version ist seit Oktober 2013 verfügbar Gültigkeit und Zertifizierung: ISO 27001:2005 Nach ISO 27001:2005 zertifizierte Unternehmen müssen auf ISO Zertifizierung nach 27001:2013 umstellen ISO 27001:2005 noch möglich ISO 27001:2013 Ab dem kann man sich nach ISO 27001:2013 zertifizieren lassen Loomans & Matz AG Folie 2

umstellen ISO 27001:2005 noch möglich ISO 27001:2013 Ab dem 25.9.

3 Die ISO Familie: Norm Aktuelle Version (englisch) Datum Aktuelle Version (deutsch) Datum : :2013 Entwurf 01/ / : / : / : :2012 vorbestellbar : / : :???? vorbestellbar 09/ / / / :2010 Neue Version angekündigt 02/2010???? Nicht verfügbar :2009 Neue Version angekündigt :2001 Neue Version angekündigt 12/2009 Nicht verfügbar 06/2011 Nicht verfügbar Loomans & Matz AG Folie 3

??? vorbestellbar 09/2008 01/2014 09/2008 01/2014 27003 27003:2010 Neue Version angekündigt 02/2010?

4 Wesentliche Änderungen in der ISO 27001: 2013 Generelle Änderungen Anpassung an Annex SL / ISO Directive Kompatibilität mit anderen ISO Management Systemen Risiko Management wird an die ISO angeglichen, um den Prozess der Risiko-Identifikation für alle ISO Standards zu vereinheitlichen Größere Freiheitsgrade bei der Implementierung Neue Struktur Neue Begrifflichkeiten Bedeutung für die ISO 27005? Prüfung bisheriger Risiko-Methodik, ob noch ISO konform Beispiele: Verbesserungsprozess muss nicht mehr zwingend über einen PDCA-Zyklus erfolgen Identifikation von Assets, Bedrohungen und Schwachstellen sind keine Voraussetzung mehr für die Identifikation von Informationssicherheits-Risiken Anhang A ist nicht mehr verpflichtend, sondern nur noch cross-check ist erforderlich Loomans & Matz AG Folie 4

5 Wesentliche Änderungen in der ISO 27001: 2013 Neuerungen Risk Owner (Abschnitt c) Interessierte Parteien (Abschnitt 4.2) Streichungen Vorbeugende Maßnahmen Dokumentenlenkung, interne Audits und Korrekturmaßnahmen sind noch als Anforderungen vorhanden, müssen aber nicht mehr dokumentiert werden Anhang B Anhang C Kapitel 3 (Begriffe), statt dessen Verweis auf ISO Loomans & Matz AG Folie 5

noch als Anforderungen vorhanden, müssen aber nicht mehr dokumentiert werden Anhang B Anhang C Kapitel

6 Grad der Änderung wesentlich moderat gering Wesentliche Bereiche Interessierte Parteien Maßnahmen, Monitoring und Messung ISMS Scope Information Security Policy Risikoermittlung und -behandlung Kommunikation Dokumentenmanagement Anhang A Führung und Engagement Statement of Applicability Risikobehandlungsplan Management von Personal Interne Audits Managementbewertung Korrekturmaßnahmen Loomans & Matz AG Folie 6

Kommunikation Dokumentenmanagement Anhang A Führung und Engagement Statement of Applicability

7 Vergleich Anhang A ISO 27001:2005 ISO 27001: Abschnitte im Anhang A 14 Abschnitte im Anhang A 133 Maßnahmen / Controls 114 Maßnahmen / Controls Dadurch ergibt sich eine veränderte Nummerierung. Diese wird in einer überarbeiteten Version des Standards ISO 27002: 2013 übernommen. Loomans & Matz AG Folie 7

ergibt sich eine veränderte Nummerierung.

8 Neue Maßnahmen im Anhang A Nummer Maßnahme A A A A A A A Information security in project management Secure development policy Secure system engineering principles Secure development environment System security testing Assessment and decision on information security events Availability of information processing facilities Loomans & Matz AG Folie 8

principles Secure development environment System security testing Assessment and decision on

9 Notwendige Dokumente nach 27001: 2013: 4.3 Scope of the ISMS 5.2 Information security policy Information security risk assessment process Information security risk treatment process d) Statement of Applicability 6.2 Information security objectives 7.2 d) Evidence of competence b) Documented information determined by the organization as being necessary for the effectiveness of the ISMS 8.1 Operational planning and control 8.2 Results of the information security risk assessments 8.3 Results of the information security risk treatment 9.1 Evidence of the monitoring and measurement results 9.2 g) Evidence of the audit programme(s) and the audit results 9.3 Evidence of the results of management reviews 10.1 f) Evidence of the nature of the nonconformities and any subsequent actions taken 10.1 g) Evidence of the results of any corrective action Loomans & Matz AG Folie 9

1 Operational planning and control 8.2 Results of the information security risk assessments 8.3 Results of the information security risk treatment 9.

10 Änderungen für eine Umstellung auf ISO 27001: 2013: Statement of Applicability: Grundsätzlich müsste nichts geändert werden, da der Anhang A nicht mehr verpflichtend ist; durch die Änderung des Anhangs A sollten Unternehmen aber die Controls entsprechend anpassen. Anforderungen interessierter Parteien: Sind eventuell bereits berücksichtigt, prüfen! Integration: Anforderungen des ISMS müssen in die Geschäftsprozesse integriert sein und dürfen nicht allein stehen. Darlegung des Unternehmens und seines Umfeldes: Dies ist eventuell nicht ausreichend beschrieben, es müssen beispielsweise auch die Motive genannt, werden, warum ein ISMS eingeführt und betrieben wird. Monitoring, Messung, Analyse und Bewertung: Die Performanz und Effektivität des ISMS muss genauer überprüft und gemessen werden. Loomans & Matz AG Folie 10

Integration: Anforderungen des ISMS müssen in die Geschäftsprozesse integriert sein und dürfen nicht allein stehen.

Ähnliche Dokumente

Delta Audit - Fragenkatalog ISO 9001:2014 DIS

QUMedia GbR Eisenbahnstraße 41 79098 Freiburg Tel. 07 61 / 29286-50 Fax 07 61 / 29286-77 E-mail info@qumedia.de www.qumedia.de Delta Audit - Fragenkatalog ISO 9001:2014 DIS Zur Handhabung des Audit - Fragenkatalogs