Änderungen im ISO 27001 2013

Posted on Veröffentlicht in Blog, Security News No Comments

Änderungen im ISO 27001:2013

Immer wieder werden wir von mabunta gefragt: „ISO 27001 – ist der Standard schon mal angepasst worden? Was hat sich den geändert?“.

Tatsächlich wurde der Standard bereits angepasst – der aktuelle Standard ISO27001:2013. Aus der Bezeichnung ist leicht ersichtlich, wann der Standard freigegeben wurde.

Und was hat sich nun geändert? Diese Frage wollen wir nicht unbeantwortet lassen und gehen ihr hier auf den Grund.

In der neusten Version von ISO 27001 (ISO 27001:2013) wird nun mehr Wert auf das Funktionieren eines ISMS (Was ist ein ISMS?) gelegt worden. Soll heißen, das im Standard die Bereiche der Leistungsfähigkeit, Messbarkeit und Überwachung immer mehr an Bedeutung gewinnen. Auch an den aktuellen Entwicklungen der Informationstechnology geht die modifizierte Version ISO27001:2013 nicht vorbei, und fügt für das Thema Outsourcing einen neuer Bereich hinzu.
Das frühere Model von PDCA (PDCA) wird nun nicht mehr explizit benannt, wodurch die Verwendung von weiteren Verbesserungsprozessen (Six Sigma oder DMAIC) möglich ist. Dagegen muss nun zukünftig mehr Aufmerksamkeit auf die organisatorischen Aspekte gelegt werden, z.B. wurde das Risikomanagement erweitert und an die ISO Norm 3100 (Risikomanagement) angelehnt.
Schlussendlich ist durch die Restrukturierung der Überschriften eine Harmonisierung des gesamten Dokuments getätigt worden.

ISO27001_Überschriften

Ebenso haben sich die Controls verändert, es sind nun nur mehr 114, im Gegensatz zu 133 von früher. Dafür sind es nun 14 Überschriften statt bisher 11. Der überwiegende Teil der Controls sind unverändert. Einige wurde gelöscht oder zusammengefasst. Ebenso gibt es einige neue Controls.

Neu Controls:

  • A.6.1.5 Information security in project management
  • A.12.6.2 Restrictions on software installation
  • A.14.2.1 Secure development policy
  • A.14.2.5 Secure system engineering principles
  • A.14.2.6 Secure development environment
  • A.14.2.8 System security testing
  • A.15.1.1 Information security policy for supplier relationships
  • A.15.1.3 Information and communication technology supply chain
  • A.16.1.4 Assessment of and decision on information security events
  • A.16.1.5 Response to information security incidents
  • A.17.2.1 Availability of information processing facilities

 

 

Schreibe einen Kommentar