ISO/IEC 27001: Amendment und Projektabbruch I PSW TRAINING BLOG

– Redaktion PSW Training

Die ISO/IEC 27001 ist die internationale Norm im Bereich Informationssicherheit. Man plante eigentlich, den Anhang A der Norm ISO/IEC 27001 zur neuen Norm ISO/IEC 27002 inhaltlich anzupassen, kam jedoch davon ab. Im heutigen Blogbeitrag erfahren Sie mehr über die Hintergründe zum Abbruch des Amendments. Sie lesen, was es mit den Normen ISO/IEC 27001 und 27002 auf sich hat, mit welchen Vor- und Nachteilen ein Amendment einhergegangen wäre und wie man sich nun geeinigt hat.

ISO/IEC 27001: Worum geht’s bei der Norm?

Als internationale Norm befasst sich die ISO/IEC 27001 mit Informationssicherheit in Unternehmen. Entwickelt von der Internationalen Organisation für Standardisierung (ISO) beschreibt die Norm jene Anforderungen an Organisationen, die für das Realisieren, Betreiben sowie Optimieren eines Informationssicherheits-Managementsystems (ISMS) eingehalten werden müssen.

Eine ISO/IEC 27001-Zertifizierung gilt als Nachweis für das Umsetzen der Standards für Informationssicherheit. Dabei wurde die Norm so geschaffen, dass sich ihre Vorgaben unabhängig von der Unternehmensgröße und Branche umsetzen lassen. Einige Branchen benötigen ein ISO/IEC 27001-Zertifikat zum Erfüllen gesetzlicher Pflichten. Andere Organisationen lassen sich zertifizieren, um die Wettbewerbsvorteile gegenüber nicht-zertifizierten Mitbewerbenden zu nutzen.

Was ist die ISO/IEC 27002?

Auch bei der ISO/IEC 27002 handelt es sich um eine internationale Norm. Als Teil der ISO/IEC 27000-Normenreihe liefert sie neben allgemeinen Richtlinien auch Empfehlungen, um das ISMS zu optimieren. Somit lässt sich die ISO/IEC 27002 als Leitfaden für das ISMS begreifen. Sie nimmt Bezug auf Anhang A der ISO/IEC 27001: Die darin beschriebenen Sicherheitsmaßnahmen werden in ihrer praktischen Umsetzung erklärt.

Da es sich bei diesem Standard um Ergänzungen zur ISO/IEC 27001 handelt, die aus Empfehlungen bestehen, ist eine Zertifizierung nach ISO/IEC 27002 nicht möglich. Die Norm ist an IT-Sicherheitsbeauftragte adressiert. Organisationen beliebiger Größe können die allgemein gehaltenen Richtlinien und Empfehlungen anwenden.

Das Amendment der ISO/IEC 27001 und der Projektabbruch

Ursprünglich war es geplant, die Anpassungen von Anhang A der Norm ISO/IEC 27001 zur neuen ISO/IEC 27002-Norm durch eine inhaltliche Anpassung („Amendment“) vorzunehmen. Dies hätte den Vorteil, dass die erst 2021 angepasste High Level Structure (= die Grundstruktur für Managementsystem-Normen) nicht erneut geändert werden müsste.

Jedoch gäbe es auch einen Nachteil am Amendment: Die ISO/IEC 27001 würde ihre alte Jahreszahl (ISO/IEC 27001:2013) behalten – ausschließlich das Addendum, also Anhang A, bekäme eine neue Jahreszahl.

Offenbar überzeugte der Vorteil nicht zur Gänze, denn das Projekt wurde abgebrochen – man entschied sich gegen das Amendment. Stattdessen hat man sich für ein Update der ISO/IEC 27001 ausgesprochen. Das hat zur Folge, dass beide Normen – die ISO/IEC 27001 und die ISO/IEC 27002 – dieselben Jahreszahlen tragen. Somit lassen sich mitunter Übergangsfristen sauberer deklarieren, sodass sich die Transparenz für Unternehmen erhöhen kann, die sich zertifizieren lassen möchten.

Suchen Sie dafür Unterstützung oder haben Sie Fragen zur ISO/IEC 27001-Zertifizierung? Nehmen Sie einfach Kontakt zu uns auf. Wir beraten Sie passgenau!