Änderungen ISO 27001: 2013 Loomans & Matz AG August-Horch-Str. 6a, 55129 Mainz Deutschland Tel. +496131-3277 877; www.loomans-matz.de, info@loomans-matz.de
Die neue Version ist seit Oktober 2013 verfügbar Gültigkeit und Zertifizierung: ISO 27001:2005 Nach ISO 27001:2005 zertifizierte Unternehmen müssen auf ISO Zertifizierung nach 27001:2013 umstellen ISO 27001:2005 noch möglich ISO 27001:2013 Ab dem 25.9.2013 kann man sich nach ISO 27001:2013 zertifizieren lassen 25.9.2013 25.9.2014 25.9.2015 Loomans & Matz AG 09.12.2013 Folie 2
Die ISO 27001 Familie: Norm Aktuelle Version (englisch) Datum Aktuelle Version (deutsch) Datum 27000 27000:2012 27000:2013 Entwurf 01/2013 07/2013 27000:2009 07/2011 27001 27001:2013 10/2013 27001:2008 27001:2012 vorbestellbar 27002 27002:2013 10/2013 27002:2008 27002:???? vorbestellbar 09/2008 01/2014 09/2008 01/2014 27003 27003:2010 Neue Version angekündigt 02/2010???? Nicht verfügbar 27004 27004:2009 Neue Version angekündigt 27005 27005:2001 Neue Version angekündigt 12/2009 Nicht verfügbar 06/2011 Nicht verfügbar Loomans & Matz AG 09.12.2013 Folie 3
Wesentliche Änderungen in der ISO 27001: 2013 Generelle Änderungen Anpassung an Annex SL / ISO Directive Kompatibilität mit anderen ISO Management Systemen Risiko Management wird an die ISO 31000 angeglichen, um den Prozess der Risiko-Identifikation für alle ISO Standards zu vereinheitlichen Größere Freiheitsgrade bei der Implementierung Neue Struktur Neue Begrifflichkeiten Bedeutung für die ISO 27005? Prüfung bisheriger Risiko-Methodik, ob noch ISO 27001-konform Beispiele: Verbesserungsprozess muss nicht mehr zwingend über einen PDCA-Zyklus erfolgen Identifikation von Assets, Bedrohungen und Schwachstellen sind keine Voraussetzung mehr für die Identifikation von Informationssicherheits-Risiken Anhang A ist nicht mehr verpflichtend, sondern nur noch cross-check ist erforderlich Loomans & Matz AG 09.12.2013 Folie 4
Wesentliche Änderungen in der ISO 27001: 2013 Neuerungen Risk Owner (Abschnitt 6.1.2 c) Interessierte Parteien (Abschnitt 4.2) Streichungen Vorbeugende Maßnahmen Dokumentenlenkung, interne Audits und Korrekturmaßnahmen sind noch als Anforderungen vorhanden, müssen aber nicht mehr dokumentiert werden Anhang B Anhang C Kapitel 3 (Begriffe), statt dessen Verweis auf ISO 27000 Loomans & Matz AG 09.12.2013 Folie 5
Grad der Änderung wesentlich moderat gering Wesentliche Bereiche Interessierte Parteien Maßnahmen, Monitoring und Messung ISMS Scope Information Security Policy Risikoermittlung und -behandlung Kommunikation Dokumentenmanagement Anhang A Führung und Engagement Statement of Applicability Risikobehandlungsplan Management von Personal Interne Audits Managementbewertung Korrekturmaßnahmen Loomans & Matz AG 09.12.2013 Folie 6
Vergleich Anhang A ISO 27001:2005 ISO 27001:2013 11 Abschnitte im Anhang A 14 Abschnitte im Anhang A 133 Maßnahmen / Controls 114 Maßnahmen / Controls Dadurch ergibt sich eine veränderte Nummerierung. Diese wird in einer überarbeiteten Version des Standards ISO 27002: 2013 übernommen. Loomans & Matz AG 09.12.2013 Folie 7
Neue Maßnahmen im Anhang A Nummer Maßnahme A.6.1.5 A.14.2.1 A.14.2.5 A.14.2.6 A.14.2.8 A.16.1.4 A.17.2.1 Information security in project management Secure development policy Secure system engineering principles Secure development environment System security testing Assessment and decision on information security events Availability of information processing facilities Loomans & Matz AG 09.12.2013 Folie 8
Notwendige Dokumente nach 27001: 2013: 4.3 Scope of the ISMS 5.2 Information security policy 6.1.2 Information security risk assessment process 6.1.3 Information security risk treatment process 6.1.3 d) Statement of Applicability 6.2 Information security objectives 7.2 d) Evidence of competence 7.5.1 b) Documented information determined by the organization as being necessary for the effectiveness of the ISMS 8.1 Operational planning and control 8.2 Results of the information security risk assessments 8.3 Results of the information security risk treatment 9.1 Evidence of the monitoring and measurement results 9.2 g) Evidence of the audit programme(s) and the audit results 9.3 Evidence of the results of management reviews 10.1 f) Evidence of the nature of the nonconformities and any subsequent actions taken 10.1 g) Evidence of the results of any corrective action Loomans & Matz AG 09.12.2013 Folie 9
Änderungen für eine Umstellung auf ISO 27001: 2013: Statement of Applicability: Grundsätzlich müsste nichts geändert werden, da der Anhang A nicht mehr verpflichtend ist; durch die Änderung des Anhangs A sollten Unternehmen aber die Controls entsprechend anpassen. Anforderungen interessierter Parteien: Sind eventuell bereits berücksichtigt, prüfen! Integration: Anforderungen des ISMS müssen in die Geschäftsprozesse integriert sein und dürfen nicht allein stehen. Darlegung des Unternehmens und seines Umfeldes: Dies ist eventuell nicht ausreichend beschrieben, es müssen beispielsweise auch die Motive genannt, werden, warum ein ISMS eingeführt und betrieben wird. Monitoring, Messung, Analyse und Bewertung: Die Performanz und Effektivität des ISMS muss genauer überprüft und gemessen werden. Loomans & Matz AG 09.12.2013 Folie 10