Die ISO\/IEC 27001 ist die internationale Norm im Bereich Informationssicherheit. Man plante eigentlich, den Anhang A der Norm ISO\/IEC 27001 zur neuen Norm ISO\/IEC 27002 inhaltlich anzupassen, kam jedoch davon ab. Im heutigen Blogbeitrag erfahren Sie mehr \u00fcber die Hintergr\u00fcnde zum Abbruch des Amendments. Sie lesen, was es mit den Normen ISO\/IEC 27001 und 27002 auf sich hat, mit welchen Vor- und Nachteilen ein Amendment einhergegangen w\u00e4re und wie man sich nun geeinigt hat.<\/p>\n
Als internationale Norm befasst sich die ISO\/IEC 27001 mit Informationssicherheit in Unternehmen. Entwickelt von der Internationalen Organisation f\u00fcr Standardisierung (ISO) beschreibt die Norm jene Anforderungen an Organisationen, die f\u00fcr das Realisieren, Betreiben sowie Optimieren eines Informationssicherheits-Managementsystems (ISMS) eingehalten werden m\u00fcssen.<\/p>\n
Eine ISO\/IEC 27001-Zertifizierung gilt als Nachweis f\u00fcr das Umsetzen der Standards f\u00fcr Informationssicherheit. Dabei wurde die Norm so geschaffen, dass sich ihre Vorgaben unabh\u00e4ngig von der Unternehmensgr\u00f6\u00dfe und Branche umsetzen lassen. Einige Branchen ben\u00f6tigen ein ISO\/IEC 27001-Zertifikat zum Erf\u00fcllen gesetzlicher Pflichten. Andere Organisationen lassen sich zertifizieren, um die Wettbewerbsvorteile gegen\u00fcber nicht-zertifizierten Mitbewerbenden zu nutzen.<\/p>\n
Auch bei der ISO\/IEC 27002 handelt es sich um eine internationale Norm. Als Teil der ISO\/IEC 27000-Normenreihe liefert sie neben allgemeinen Richtlinien auch Empfehlungen, um das ISMS zu optimieren. Somit l\u00e4sst sich die ISO\/IEC 27002 als Leitfaden f\u00fcr das ISMS begreifen. Sie nimmt Bezug auf Anhang A der ISO\/IEC 27001: Die darin beschriebenen Sicherheitsma\u00dfnahmen werden in ihrer praktischen Umsetzung erkl\u00e4rt.<\/p>\n
Da es sich bei diesem Standard um Erg\u00e4nzungen zur ISO\/IEC 27001 handelt, die aus Empfehlungen bestehen, ist eine Zertifizierung nach ISO\/IEC 27002 nicht m\u00f6glich. Die Norm ist an IT-Sicherheitsbeauftragte adressiert. Organisationen beliebiger Gr\u00f6\u00dfe k\u00f6nnen die allgemein gehaltenen Richtlinien und Empfehlungen anwenden.<\/p>\n
Urspr\u00fcnglich war es geplant, die Anpassungen von Anhang A der Norm ISO\/IEC 27001 zur neuen ISO\/IEC 27002-Norm durch eine inhaltliche Anpassung (\u201eAmendment\u201c) vorzunehmen. Dies h\u00e4tte den Vorteil, dass die erst 2021 angepasste High Level Structure (= die Grundstruktur f\u00fcr Managementsystem-Normen) nicht erneut ge\u00e4ndert werden m\u00fcsste.<\/p>\n
Jedoch g\u00e4be es auch einen Nachteil am Amendment: Die ISO\/IEC 27001 w\u00fcrde ihre alte Jahreszahl (ISO\/IEC 27001:2013) behalten \u2013 ausschlie\u00dflich das Addendum, also Anhang A, bek\u00e4me eine neue Jahreszahl.<\/p>\n
Offenbar \u00fcberzeugte der Vorteil nicht zur G\u00e4nze, denn das Projekt wurde abgebrochen \u2013 man entschied sich gegen das Amendment. Stattdessen hat man sich f\u00fcr ein Update der ISO\/IEC 27001 ausgesprochen. Das hat zur Folge, dass beide Normen \u2013 die ISO\/IEC 27001 und die ISO\/IEC 27002 \u2013 dieselben Jahreszahlen tragen. Somit lassen sich mitunter \u00dcbergangsfristen sauberer deklarieren, sodass sich die Transparenz f\u00fcr Unternehmen erh\u00f6hen kann, die sich zertifizieren lassen m\u00f6chten.<\/p>\n