close

Anmelden

Neues Passwort anfordern?

Anmeldung mit OpenID

Ein Jahr ISO/IEC 27001 in neuer Version – Was ist passiert - DGQ

EinbettenHerunterladen
Expertenwissen für DGQ-Mitglieder
Ein Jahr ISO/IEC 27001 in
neuer Version –
Was ist passiert und was muss
passieren?
Expertenwissen für DGQ-Mitglieder
Ein Jahr ISO/IEC 27001 in neuer
Version - Was ist passiert und
was muss noch passieren?
E inleitung
Übergreifende Ziele der Revision
Seit Beginn der NSA-Spionageaffäre im Juni 2013 hat die
Die Ziele der überarbeiteten Norm spiegeln sich in ver-
Bundesregierung keine klare Handlungslinie zur Sicher-
schiedenen Punkten wider. Sofort ersichtlich ist die neue
heit der Bürgerinnen und Bürger sowie Unternehmen
Kapitelstruktur im Anforderungsteil der Norm. Sie orien-
gefunden. Dafür hat sich deutlich gezeigt, dass die Politik
tiert sich an dem in der „ISO/IEC Directives, Part 1, Con-
immer nur dann Maßnahmen eingefordert und ergriffen
solidated ISO Supplement – Procedures specific to ISO“
hat, wenn Parlamentarier und Staatsbeamte getroffen
beschriebenen Leitfaden im Annex SL (http://www.iso.
waren: seien es Frau Dr. Merkels Mobiltelefone oder der
org/sites/directives/directives.html). Diese neue Kapitel-
Doppelagent im NSA-Untersuchungsausschuss. Bürge-
struktur wird als „High Level Structure“ (siehe Tabelle 1)
rinnen und Bürger sowie Unternehmen müssen sich also
bezeichnet, die eine übergeordnete Struktur sowie bereits
selbst um die Sicherheit ihrer Informationen kümmern.
In der Wirtschaft bietet die ISO/IEC 27001:2013, der
internationale Standard für ein Informationssicherheitsmanagementsystem, das beste Fundament.
Im Oktober 2013 wurde sie in einer neuen Revision
veröffentlicht. Diese Norm definiert die Anforderungen
an solch ein Managementsystem und ist somit für die
Zertifizierung relevant. Zeitgleich wurde auch der „Code
of Practice“, die ISO/IEC 27002:2013, aktualisiert und in
seiner zweiten Ausgabe veröffentlicht. In diesem Leitfaden
werden analog zur Struktur der ISO/IEC 27001 Beispiele
aus der praktischen Umsetzung gegeben, die man bei
Bedarf für sein Managementsystem nutzen kann.
Mittlerweile ist seit der Veröffentlichung schon ein Jahr
vergangen und bei den Unternehmen, Beratern und Auditoren stößt man auf ein geteiltes Urteil: Auf der einen
Seite das sich viel geändert habe und auf der anderen
Seite, dass sich die Änderungen in Grenzen hielten. Genau
hier zeigt sich aber, dass man die diese Aussagen zu den
Änderungen der Norm nicht so pauschal stehen lassen
kann. Vielmehr müssen sie individuell betrachtet werden.
Dieser Artikel erhebt den Anspruch einen Überblick über
die wesentlichen Aspekte der Revision zu geben. Gleichzeitig fordert er dazu auf, den Kalender zu prüfen – viele Unternehmen haben sich bisher noch nicht mit der Revision
auseinandergesetzt, und die Zeit für bestehende Zertifikate läuft unaufhaltsam ab.
2
ISO/IEC 27001:2013
Tabelle1:
Anforderungsteil (High-Level-Structure) der ISO/IEC 27001:2013
4 Context of the organisation
4.1 Understanding the organisation and its context
4.2 Understanding the needs ans expectations of interested
parties
4.3 Determining the scope of the information security
management system
4.4 Information security mangement system
5 Leadership
5.1 Leadership and commitment
5.2 Policy
5.3 Organisational roles, responsibilities and authorities
6 Planning
6.1 Actions to adress risks and opportunities
6.2 Informations security objectives ans planning to achieve
them
7 Support
7.1 Resources
7.2 Competence
7.3 Awareness
7.4 Communication
7.5 Documented information
8 Operation
8.1 Operational planning and control
8.2 Information security risk assessment
8.3 Information security risk assessment
9 Performance evaluation
9.1 Monitoring, measurement, analysis and evaluation
9.2 Internal audit
9.3 Management review
10 Improvement
10.1 Noncornformity and corrective action
10.2 Continual improvement
abgestimmte Texte für die gemeinsamen Themen bzw.
Vor- und Nachteile der Überarbeitung
gleichartigen Anforderungen der Managementsystem-
Einer der großen Vorteile der Normrevision ist – wie
Standards ermöglichen soll. In der Anwendung wird sich
bereits oben angesprochen – die „High Level Structure“.
diese Veränderung in den nächsten Jahren mit der Revisi-
Ihre Praktikabilität wird sich zukünftig mehr und mehr in
on weiterer Normen als praktikabel herausstellen, bietet
integrierten Managementsystemen zeigen sobald weitere
sie den Unternehmen doch ein einfacheres Verständnis
Regelwerke, wie z. B. die ISO 9001 oder ISO 14001, in einer
sowie einen geringeren Aufwand bei der Aufrechterhal-
neuen Version veröffentlicht werden. An der auf Basis der
tung des integrierten Managementsystems.
„High Level Structure“ überarbeiteten ISO/IEC 27001 lässt
sich schon sehr gut ablesen, wie die genannten weiteren
Damit hat sich auf der einen Seite zwar der Aufbau der
Normen in Ihrer Endfassung aussehen könnten. Durch die
Kapitelstruktur verändert, jedoch sind andererseits die
Harmonisierung mit anderen internationalen Regelwerken
Anforderungen des Regelwerkes dadurch nicht weggefal-
werden zukünftig die gleichen grundlegenden Ansätze
len oder wurden hinzugefügt. Vielmehr sollen nun einige
und Schwerpunkte besser herausgestellt, während die
Themen, wie z. B. der Kontext der Organisation und die
mühevolle Referenzierung der einzelnen Anforderungen
Verpflichtung des obersten Managements, mehr im Fokus
der Vergangenheit angehören wird. Gleichzeitig werden
stehen. Dazu später mehr.
die einzelnen Unterschiede zwischen den Regelwerken
Die bisher klare Struktur der PDCA-Systematik (PlanDo-Check-Act nach Deming) wurde bei der Überarbei-
klarer, was sich in der Anwendung und Interpretation als
Vorteil herausstellen wird.
tung nicht mehr als Grundlage genutzt. Jedoch ist die
Mit der Überarbeitung sind die Formulierungen in vielen
verwendete High Level Structure mit ihr kompatibel, sie
Teilen der Norm allgemeiner geworden. Das ist als Vorteil
gibt eben nur nicht mehr ein bestimmtes Modell vor. Die
zu werten, denn es bietet die Möglichkeit, noch indivi-
Überarbeitung des Annex A zielte auf eine Verbesserung
duellere und somit noch angemessenere Lösungen zur
des Aufbaus, nämlich einer besseren und nachvollziehba-
Erfüllung der Normanforderungen zu finden. Die Norm
rere Strukturierung der Inhalte und Anforderungen, ab. In
bietet somit einen größeren „Spielraum“ für die Umset-
diesem Anhang der Norm sind alle Maßnahmenziele (Ob-
zung in der Praxis. Was für den einen ein klarer Vorteil
jectives) und Maßnahmen (Controls) zur Risikobehand-
ist, kann dem anderen aber durchaus Schwierigkeiten
lung beschrieben. Diese Ziele und Maßnahmen, die sich in
bereiten. In diesem Zusammenhang sollte man sich im
verschiedenen Themenbereichen wiederfinden, sind nun
Klaren darüber sein, dass die Norm nicht präzise die Um-
logischer geordnet. Dieser Punkt wird ebenso später noch
setzung (Wie ist es zu tun?) vorgeben wird und kann, son-
etwas genauer betrachtet.
dern nur die Rahmenbedingungen (Was ist zu tun?) defi-
Die Revision der Norm hat auch Fehler korrigiert, Lücken gefüllt und Redundanzen und Wiederholungen in
verschiedenen Abschnitten eliminiert. Veränderungen/
Verbesserungen sollen hier jedoch nicht im Einzelnen
betrachtet werden.
Das wichtigste Ziel der Revision war die fachliche Überarbeitung der ISMS-Anforderungen (Anforderungsteil)
und des Kataloges an Sicherheitsmaßnahmen (Controls
im Annex A), um im Standard nicht nur den aktuellen
Anforderungen gerecht zu werden, sondern auch die „Zukunftsfähigkeit“ des Maßnahmenkataloges sicherzustellen. Dies spiegelt sich unter anderem in der Verwendung
anderer Begrifflichkeiten wider, was noch an Beispielen
zu sehen sein wird.
niert, damit Informationen in einer für das Unternehmen
angemessenen Art und Weise geschützt werden können.
Wie bereits in der Einleitung erwähnt wurde zeitgleich die
ISO/IEC 27002 aktualisiert und damit eine analoge Struktur zur ISO/IEC 27001 geschaffen, was diesen Leitfaden
in der Anwendung nochmals deutlich aufwertet. Gerade
dieser Leitfaden bietet sich dafür an einen Überblick über
Möglichkeiten der praktischen Umsetzung zu bekommen
und kann somit wertvolle Hinweise geben.
Die Anforderungen an Berater, Auditoren und Unternehmen sind durch die allgemeineren Formulierungen sicherlich gestiegen. Hier sind vor allem erfahrene Personen
gefragt, welche die Norm und die für das Unternehmen
individuelle Auslegung richtig interpretieren können.
Gerade im spezifischen Interpretationsvermögen der
Norm zeigt sich neben jahrelanger Projekterfahrung die
3
Expertenwissen für DGQ-Mitglieder
Kompetenz der Personen. Empfehlenswert sind deshalb
2. In der ISO/IEC 27001 gibt es keine Unterscheidung
Berater, die auch für Zertifizierungsgesellschaften als
mehr nach Dokumenten im Sinne von Vorgaben und
Auditoren eingesetzt sind, da sie sich besser in verschie-
Aufzeichnungen. Mit der Revision wird der Begriff
dene Perspektiven (Kunde, Unternehmen, Auditor und
der „dokumentierten Information“ neu eingeführt,
weitere Stakeholder) hinein versetzen können. Dies ist ein
was dem Aspekt der Sicherheit von Informationen
wichtigstes Kriterium bei der Wahl der richtigen Unter-
sprachlich deutlich gerechter wird als bisher. Vollstän-
stützung.
digkeitshalber soll nicht unerwähnt bleiben, das im
Wichtige Themen der Überarbeitung
An dieser Stelle bekommen Sie einen Überblick über die
wichtigsten Änderungen: Die Revision der ISO/IEC 27001
basiert auf der bereits erwähnten „High Level Structure“.
Somit ist diese Norm eine der ersten Normen, die dem
zugrundeliegenden ISO-Leitfaden Rechnung trägt. Das
erklärt auch, warum die beiden Anhänge B und C weggefallen sind: Sie enthielten die Erläuterung zur Anwendung
der PDCA-Systematik (Annex B) sowie eine Referenzie-
Anhang der ISO/IEC 27001 unter A.18.1.3 die Anforderungen an den Schutz von Aufzeichnungen dennoch
definiert werden, obwohl der Begriff der Aufzeichnung
sonst nirgendwo mehr auftaucht. In den bisherigen
Entwürfen der zukünftigen 9001 wird sogar gefordert,
„Wissen“ als Ressource zu sehen, die es zu schützen
gilt. Die Bedeutung der ISO/IEC 27001 wird dadurch
nochmals unterstrichen.
3. Nach wie vor wird immer noch kein Informationssi-
rung der Normenkapitel zu den Standards ISO 9001:2000
cherheitsbeauftragter (ISB) oder eine ähnliche Rolle ge-
(Qualität) sowie ISO 14001:2004 (Umwelt) im Annex C. Die
fordert, wie es oft zu hören ist. Es müssen nur Rollen
nächsten Revisionen dieser Regelwerke werden auch auf
und Verantwortungen definiert sein, die über die rich-
der „High Level Structure“ basieren.
tigen Kompetenzen (inkl. Verantwortung, Rechten und
Die Revision betraf daher vor allem Änderungen im
Managementteil der Norm, die im Folgenden dargestellt
werden sollen.
1. In Zukunft wird es wichtiger, das eigene Unternehmen
stärker im Gesamtkontext herauszustellen: In welchem
Befugnissen) verfügen. Es muss klar sein, wie entsprechende personelle Ressourcen bereitgestellt werden,
damit die Aufrechterhaltung der Informationssicherheit sichergestellt ist. Wie diese benannt sind, bleibt
nach wie vor dem Unternehmen überlassen, wenn dies
nicht explizit gefordert ist (siehe Punkt 5).
Kontext bewegt sich eine Organisation bezogen auf die
interessierten Parteien und deren Schnittstellen und
wie sehen dadurch Rahmenbedingungen im unternehmerischen Handeln bezogen auf die Informationssicherheit aus? Gerade hier ist ein genauer Blick auf die
interessierten Parteien und deren Anforderungen an
Informationssicherheit notwendig (was erwarten z. B.
Versicherungen, Banken, Behörden, Kunden, Mitarbeiter, die Gesellschaft etc.?). Das Wissen um diese
unterschiedlichen Interessenlagen ist die Ausgangslage für die strategische Ausrichtung der Informationssicherheit. Dabei geht es aber nicht darum, dass
alle Erwartungen erfüllt sein müssen. Viel wichtiger
ist vielmehr der Aspekt, welche Anforderungen und
in welchem Umfang das Unternehmen bereit ist zu
erfüllen. Ein guter Input für die Risikobetrachtung im
Risikomanagementprozess, der das stärkere Hervorheben der Verantwortung der obersten Leitung in der
neuen Norm erklärt.
4. Ebenso wird das Risikomanagement, was auch schon
ein Kernelement der ISO/IEC 27001:2005 gewesen ist,
durch die fehlende Differenzierung von korrektiven
und vorbeugenden Maßnahmen noch stärker in den
Vordergrund gerückt. Es wird nur noch von Korrekturmaßnahmen gesprochen, da alle vorbeugenden Maßnahmen über den Risikomanagementprozess beschrieben sein müssen.
5. Die Anforderungen an das Risikomanagement beziehen sich nun nicht mehr primär auf die Identifizierung, Bewertung und Bewältigung von Risiken, die
mit IT-technischen Assets (Werten) zusammenhängen,
sondern müssen sich primär an den Bedürfnissen der
Organisation ausrichten. Gerade hier ist ein klares Bild
vom Kontext der Organisation, wie unter Punkt 1 beschrieben, wichtig. Neben dem Asset-Owner (Werte-Eigentümer) wird nun ebenso als Ressource ein Risk-Owner (Risiko-Eigentümer) gefordert. Also eine Funktion,
die Verantwortung und Befugnisse besitzt, um – be-
4
ISO/IEC 27001:2013
zogen auf das ihr zugeordnete Risiko – alle erforderli-
geforderten ISMS-Leitlinie und Informationssicher-
chen Maßnahmen zur Risikobewältigung (z. B. Risiko-
heitsleitlinie werden generell zur „Sicherheitsleitlinie“
vermeidung, Risikoüberwälzung, Risikoreduzierung
zusammengefasst. Eine durchaus nachvollziehbare
oder Risikoakzeptanz) umzusetzen. Dabei ist hier das
Veränderung, da dies deutlich mehr der bisher geleb-
Vorgehen unter Einbeziehung der Controls beschrie-
ten Umsetzungspraxis in den Unternehmen entspricht.
ben. Die Gefährdung wird identifiziert, die grundsätz-
Neu hinzugekommene Richtlinien sind die für Sicher-
lichen Maßnahmen zur Risikobewältigung aus den
heit in der Entwicklung sowie jene für die Sicherheit
Controls zugeordnet und dann, wo nötig, durch indi-
im Lieferantenmanagement. Dadurch werden auch An-
viduell definierte Maßnahmen ergänzt. Dadurch stärkt
forderungen und Aspekte deutlich stärker hervorgeho-
die neue Norm den Bezug zu den Controls deutlicher
ben die in der bisherigen Norm verteilt im Anhang zu
als bisher. Doch wie genau soll vorgegangen werden?
finden waren. Darüberhinaus wurden Begrifflichkeiten
Für die 27000er-Normenfamilie findet sich zwar in der
angepasst oder weitere Richtlinien inhaltlich zusam-
ISO/IEC 27005 ein mögliches Vorgehen zur Umsetzung
mengefasst (siehe Tabelle 2).
von Risikomanagement, allerdings noch mit Bezug zur
vorhergehenden ISO/IEC 27001:2005. In den Anmerkungen der neuen Norm zeigt sich die Orientierung an
der ISO 31000, der Norm für das Risikomanagement
(Grundsätze und Richtlinien). Mit anderen Worten geht
es auch hier darum einen eigenen angemessen Rahmen
zu finden.
Die ISO/IEC 27001 zeichnet sich im Gegensatz zu anderen hier genannten Regelwerken durch Ihren Anhang A
mit dort beschriebenen Maßnahmenzielen und Maßnahmen aus. Neben den Änderungen im Managementteil der
Norm durch die High Level Structure ist die Umstrukturierung dieses Anhangs eine weitere deutliche Veränderung der Norm, wo im Folgenden nur kurz und übergrei-
6. Generell präferiert die ISO/IEC 27001 die Aufrechter-
fend eingegangen werden soll.
haltung einer auf Prävention ausgerichteten Kommunikationskultur. Dies galt zwar auch schon für die alte
Version der Norm, jedoch war dies an den unterschiedlichsten Stellen des Regelwerkes gefordert. Mit der
Revision wurden die Anforderungen an die Kommunikation und die damit verbundenen Pflichten gemäß
High Level Structure im Kapitel 7.4 zusammengefasst.
7. In Hinsicht auf Forderungen und Richtlinien, die es
im Unternehmen zu definieren gilt, haben sich bei der
Revision der ISO/IEC 27001 einige Änderungen ergeben. An dieser Stelle soll aber nur exemplarisch auf die
wichtigsten Aspekte eingegangen werden. Die bisher
Aus den bisher 11 Themenbereichen sind nun 14 geworden, was nicht unbedingt ein deutliches Mehr an Anforderungen bei den Maßnahmen bedeutet: Aus den bisher
133 Maßnahmen sind nun 114 entstanden. Dies ist auf
verschiedene Aspekte durch Veränderungen im Anhang
zurückzuführen:
> Formulierungen sind auch im Anhang der Norm
allgemeiner geworden und bieten dem Anwender so
mehr Interpretationsspielräume für die Umsetzung.
Ein Beispiel: Aus der Passwortverwendung (ISO/IEC
27001:2005: A.11.3.1) ist nun das Passwortmanagementsystem (A.9.4.3) geworden.
Tabelle2: Richtlinien-Forderung nach Revisionsjahr (farblich markiert sind Veränderungen)
2005
ISMS-Leitlinie
Informationssicherheitsleitlinie
Datensicherung
Access Control
Clear Desk and Screen
Netzwerkdienste Nutzung (mit Access Control)
Mobile Computing
Teleworking
Kryptografie
–
–
2013
Sicherheitsleitlinie
Sicherheitsleitlinie
Datensicherung
Access Control
Clear Desk and Screen
Access Control
Mobile Devices
Teleworking
Kryptografie
Lieferanten
Sichere Entwicklung
5
Expertenwissen für DGQ-Mitglieder
> Die Controls wurden thematisch besser zusammengefasst, also logischer angeordnet. Ein Beispiel: Der
Revision haben allerdings gezeigt, dass es jedem Unter-
Umgang mit Medien ist nun dem Themenbereich Asset
nehmen guttut, sich hier gezielte Unterstützung von au-
Management zugeordnet.
ßen zu holen. So bieten Zertifizierungsgesellschaften den
> Einige Controls finden sich entweder in verschiedenen
Unternehmen Informationen zur neuen ISO/IEC 27001
anderen Controls wieder oder wurden in ein Control
in unterschiedlicher Detailtiefe an. Auch die Teilnahme
zusammengefasst. Ein Beispiel: In der alten Norm gab
an Webinaren oder Trainings zur Revision kann hier
es getrennte Controls für Zugriffe auf Betriebssyste-
durchaus hilfreich sein. In diesem Zusammenhang haben
me und Applikationen. Diese wurden nun prozessual
sich besonders eintägige Inhouse-Workshop bewährt, bei
zusammengefasst in A.9.4.
denen die überarbeiteten Aspekte der Normenrevision
> Neue/geänderte Forderungen sind beispielhaft in
A.6.1.5 (Projektmanagement), A.6.2.1 (Richtlinie zu
mobilen Endgeräten), A.15.1.3 (Lieferantenmanagement)
und A.17.2.1 (Redudanzschaffung) zu finden.
> In A.17 beziehen sich die Veränderungen auf das BCM
(Business Continuity Management). Hier zeigt sich eine
stärkere Fokussierung auf die Frage, wie die Informationssicherheit sichergestellt wird, wenn es zu Notfallsituationen kommt. Eine umfassende Betrachtung zur
Aufrechterhaltung des Geschäftsbetriebes wird sich so
nur über die Einbindung der ISO 22301 (Business Continuity Management) sicherstellen lassen.
> Auch Begrifflichkeiten haben sich teilweise verändert,
um die Aktualität und zugleich die Zukunftsfähigkeit
der Norm sicherzustellen. Ein Beispiel: Aus Computing
ist nun Device geworden, damit auch neuere Geräteklassen wie Tablets oder Smartphones Berücksichtigung finden. Gleichzeitig können zukünftige neue
Geräteklassen ebenfalls sofort berücksichtigt werden.
Auswirkungen für Unternehmen
Wie eingangs erwähnt schwanken die Meinungen zur Revision der Norm ISO/IEC 27001 zwischen „viele Änderungen“ und „kaum Änderungen“. Aber welche Auswirkungen das genau auf das einzelne Unternehmen hat lässt
sich nicht pauschal beantworten. Beide Sichtweisen sind
berechtigt, denn die Auswirkungen aller Veränderungen
in der Norm müssen sehr individuell betrachtet werden.
Dabei überwiegen für den einen die Vorteile, für den
anderen die Nachteile – je nachdem, wie viel finanziellen
und personellen Aufwand die überarbeitete Norm für das
eigene Unternehmen bedeutet. Fest steht aber, dass die
überarbeitete Norm mehr Möglichkeiten in der Umsetzung und somit eine höhere Flexibilität für den Anwender bietet. Die bisher betrachteten Aspekte sollten diesen
Eindruck verstärkt haben.
6
Die Erfahrungen aus der bisher vergangenen Zeit seit der
ISO/IEC 27001:2013
direkt mit einer Analyse bezogen auf das eigene Managementsystem verbunden ist. Denn den größten Nutzen
ziehen alle Verantwortlichen aus einer persönlichen
Diskussion, die kompetent begleitet wird.
Zertifizierung auf Basis der neuen Norm
Wenn Sie ein gültiges Zertifikat zur ISO/IEC 27001:2005
Ihr Eigen nennen dürfen, dann sollten Sie sich spätestens
jetzt über notwendige Anpassungen an Ihrem Managementsystem Gedanken machen, denn mit der Veröffentlichung der Revision im Oktober 2013 beginnt eine
24-monatige Übergangsfrist. In diesem Zeitraum muss
eine Zertifizierung auf Basis der ISO/IEC 27001:2013
abgeschlossen sein. Das bedeutet: Bestehende Zertifikate
nach der 2005er-Version behalten nur bis zum 30.09.2015
ihre Gültigkeit, unabhängig davon, ob Sie sich gerade erst
nach dem 2005er- Regelwerk zertifiziert haben lassen.
Stimmen Sie sich daher jetzt schon mit Ihrem Zertifizierer im Hinblick auf Termine und Umstellungsaufwänden
ab, damit das Risiko des Zertifikatverlustes ausgeschlossen werden kann!
Sollten Sie noch kein Zertifikat besitzen, so ist dies ein
guter Zeitpunkt sich mit allen Aspekten der Informationssicherheit, was auch IT-Sicherheit und Datenschutz
beinhaltet, auseinanderzusetzen. Die ISO/IEC 27001 bietet hierzu eine sehr gute, international anerkannte Basis,
um systematisch und strukturiert in dieses Themenfeld
einzusteigen. Es sollte dabei nur beachtet werden, dass
die Einführung eines Informationssicherheitsmanagementsystems (ISMS) durchaus eines gewissen zeitlichen
Aufwandes bedarf, da man Sicherheit nicht einfach in die
Köpfe der Mitarbeiterinnen und Mitarbeiter „einpflanzen“
kann. Um eine zur Sensibilisierung und für den Umgang
mit Unternehmenswerten geeignete Basis zu schaffen,
sollte ein nach Unternehmensgröße und – komplexität
angemessener Zeitrahmen eingeplant werden. Auch
hierbei können Ihnen kompetente Unternehmen mit
einer Bestandsaufnahme über ein „Information Security
Die Norm gibt dabei nur die Richtung vor. Dass es aber
Assessment“ sowie der gemeinsamen Ergebnisanalyse
eine klare Ausrichtung für Informationssicherheit im
realistische Informationen geben.
Unternehmen geben muss, zeigen die Erfahrungen mit
Fazit
Abschließend bleibt festzuhalten, dass die Änderungen
in der ISO/IEC 27001:2013 in jedem Fall sinnvoll sind, da
die Unternehmen viel mehr Möglichkeiten in der Ausgestaltung der Informationssicherheit erhalten und somit
eine neue Flexibilität in der Umsetzung der Normvorgabe
gewinnen. Die strukturellen und inhaltlichen Anpassungen ermöglichen darüber hinaus eine noch bessere Integration in bestehende Managementsysteme bzw. eine nun
auch nachvollziehbare Einführung eines Managementsystems nur auf Basis von Informationssicherheit.
Die steigende Komplexität des Informationssicherheitsmanagements durch die neuen Möglichkeiten der
Ausgestaltung stellt aber auch höhere Ansprüche an
Unternehmen und Berater, die nun noch flexibler auf die
Bedürfnisse der Kunden eingehen müssen.
dem NSA-Skandal und dem in der Presse dokumentierten
mangelhaften politischen Umgang mit der Sicherheit in
Deutschland.
Die Unternehmen müssen deshalb selbst ihre wichtigen
Informationen schützen und als Vorbild agieren. Nur so
kann Vertrauen geschaffen, Wissen und Wettbewerbsvorteile gesichert sowie die Existenz aller Beteiligten sichergestellt werden. Das Informationen gestern, heute und
in der Zukunft die Träger des Erfolges sind, dass haben
Google & Co. schon vor vielen Jahren erkannt und verdienen heute Milliarden damit.
Sollte Ihr Unternehmen bereits zertifiziert, aber noch
nicht auf die neue Revision der ISO/IEC 27001 umgestellt
sein, so drängt nun die Zeit. Zögern sie also nicht, sondern schützen Sie die Informationen, die Ihnen wichtig
sind!
Letztendlich muss für jedes Unternehmen der Aufwand
zur Anpassung an die neue Norm individuell betrachtet
werden, um einen angemessenen Umsetzungsrahmen zu
finden.
Autor
Ihr Kontakt
Andreas Altena, IT-Kaufmann und Betriebswirt, ist
Geschäftsführer der Altena-TCS GmbH. Seine Kernkompetenzen sind Qualitäts-, Informationssicherheit-, Datenschutz- und (IT-)Service-Managementsysteme sowie
Service-Excellence. Über seine Tätigkeit als Geschäftsführer hinaus begutachtet er seit 2007 als DQS-SeniorAuditleiter Managementsysteme in den genannten
Gebieten und arbeitet seit 2012 als Trainer für die DGQ
Weiterbildung GmbH in den Bereichen Qualitätsmanagement- und Auditorenausbildung.
Andreas Altena
Altena-TCS GmbH
Robert-Reichling-Straße 10
47807 Krefeld
T +49 (0)2151-361 79 13
dialog@altena-tcs.de
www.altena-tcs.de
7
Document
Kategorie
Bildung
Seitenansichten
7
Dateigröße
385 KB
Tags
1/--Seiten
melden