Dieser Leitfaden richtet sich an Organisationen und Unternehmen, die die Aktualisierungen der Norm ISO 27001 erfolgreich umsetzen möchten. Ziel ist es, den Leser bei den notwendigen Veränderungsprozessen und der erfolgreichen Neu-Zertifizierung nach DIN ISO/IEC 27001:2013 seines Informationssicherheits-Managementsystems zu unterstützen.
Der Autor Stefan Beck ist seit über 10 Jahren als Experte für Informationssicherheit und Datenschutz tätig und berät Organisationen bei der Implementierung und Weiterentwicklung von Informationssicherheits-Managementsystemen (ISMS). Seine Erfahrungen gibt er in diesem Buch weiter.
Zunächst führt er dabei in die Entstehung der ISO/IEC-Norm ein, erläutert die wichtigsten Änderungen des Standards zum Vorgänger ISO 27001:2005 und gibt konkrete Vorschläge an die Hand, wie die neuen Anforderungen in einer Organisation umgesetzt werden können. Der Autor zeigt auf, wo die Prioritäten bei der Umsetzung der neuen Norm liegen und mit welchen Auswirkungen bei integrierten Managementsystemen (IMS) zu rechnen ist. Um den Aufwand für das Implementieren der Veränderungen praxisnah zu ermitteln, hat er weitere Experten befragt und die Ergebnisse zusammengetragen. Dieses Buch eignet sich daher hervorragend als Handlungsempfehlung zur Umstellung auf die internationale Zertifizierungsnorm ISO/IEC 27001:2013 und deren deutsche Übertragung ISO/IEC 27001:2015.
Inhaltsverzeichnis
- Motivation
- Zielsetzung der Masterarbeit
- Internationale Normung
- International Organization for Standardization (ISO)
- International Electrotechnical Commission (IEC)
- Die Entstehung einer neuen ISO/IEC-Norm
- Vorstadium
- Vorschlagsphase
- Erstellungsphase
- Komiteephase
- Prüfungsphase
- Zustimmungsphase
- Veröffentlichungsphase
- Änderungen an ISO-Dokumenten
- Zertifizierung
- Managementsysteme
- Integriertes Managementsystem
- Informationssicherheits-Managementsystem (ISMS)
- Überblick über die ISO/IEC 27000-Reihe
- Die ISO/IEC 27001
- Entwicklungsschritte der ISO/IEC 27001
- Die ISO/IEC 27001:2013
- Gründe für die Aktualisierung
- Geänderte ISO/IEC Direktiven
- Änderungen an der ISO/IEC 27001:2013 gegenüber der ISO/IEC 27001:2005
- Feststellung von Änderungen
- Änderungen in der Anwendung der Norm
- Änderungen in Kapitel 4
- Änderungen in Kapitel 5
- Änderungen in Kapitel 6
- Änderungen in Kapitel 7
- Änderungen in Kapitel 8
- Änderungen in Kapitel 9
- Änderungen in Kapitel 10
- Änderungen an den Dokumentationsanforderungen
- In der Version ISO/IEC 27001:2013 nicht mehr enthaltene Anforderungen
- Änderungen am Erscheinungsbild
- Wesentliche Änderungen im Anhang A
- Auswirkungen der Änderungen auf die Zertifizierung
- Auswirkungen der Änderungen auf Zertifizierungsstellen
- Expertenbefragung
- Entwicklung des Fragenkatalogs
- Fragenkatalog
- Pretest
- Theoretische Grundlagen zur Auswertung
- Ergebnisse der Expertenbefragung
- Auswertung und wesentliche Erkenntnisse
- Handlungsleitfaden für Anpassungen aufgrund der Aktualisierung der ISO/IEC 27001
- Wesentliche Aktivitäten zu Kapitel 4
- Wesentliche Aktivitäten zu Kapitel 5
- Wesentliche Aktivitäten zu Kapitel 6
- Wesentliche Aktivitäten zu Kapitel 7
- Wesentliche Aktivitäten zu Kapitel 8
- Wesentliche Aktivitäten zu Kapitel 9
- Wesentliche Aktivitäten zu Kapitel 10
- Potenzieller Änderungsbedarf an der Dokumentation
- Potenzieller Änderungsbedarf aufgrund der Änderungen im Anhang A
- Einschätzung der Änderungen
- Voraussetzungen, Vorbereitung, Planung
- Mögliche Strategien für die Anpassung eines ISMS
- Möglicher Projektablaufplan zur Anpassung eines ISMS
- Zusammenfassung
Zielsetzung und Themenschwerpunkte
Die Masterarbeit befasst sich mit der Aktualisierung der ISO/IEC 27001 und analysiert die Änderungen gegenüber der Vorgängerversion. Das Ziel der Arbeit ist es, den Änderungsbedarf aufzuzeigen und Handlungsempfehlungen für die Anpassung von Informationssicherheits-Managementsystemen (ISMS) an die neue Norm zu entwickeln.
- Analyse der Änderungen an der ISO/IEC 27001:2013 gegenüber der ISO/IEC 27001:2005
- Bewertung der Auswirkungen der Änderungen auf die Praxis
- Entwicklung eines Handlungsleitfadens für die Anpassung von ISMS
- Expertenbefragung zur Einschätzung des Änderungsbedarfs
- Bedeutung der Norm für die Informationssicherheit
Zusammenfassung der Kapitel
Die Arbeit beginnt mit einer Einleitung, die die Motivation und die Zielsetzung der Arbeit erläutert. Anschließend werden die Grundlagen der internationalen Normung im Kontext der ISO/IEC 27001 vorgestellt. In diesem Zusammenhang werden die Entstehungsprozesse von ISO/IEC-Normen sowie die gängigen Verfahren zur Aktualisierung von Normen beschrieben. Das vierte Kapitel widmet sich dem Thema Managementsysteme und beleuchtet insbesondere das Informationssicherheits-Managementsystem (ISMS). Die Arbeit beleuchtet die Entwicklung der ISO/IEC 27001 und die Gründe für die Aktualisierung der Norm. Im sechsten Kapitel werden die wesentlichen Änderungen der ISO/IEC 27001:2013 gegenüber der ISO/IEC 27001:2005 im Detail analysiert. Die Arbeit beschreibt die Ergebnisse einer durchgeführten Expertenbefragung zum Thema Aktualisierung der ISO/IEC 27001 und leitet daraus einen Handlungsleitfaden für die Anpassung von ISMS an die neue Norm ab. Die Arbeit endet mit einer Zusammenfassung der wichtigsten Erkenntnisse und Schlussfolgerungen.
Schlüsselwörter
ISO/IEC 27001, Informationssicherheits-Managementsystem (ISMS), Aktualisierung, Änderungsbedarf, Handlungsempfehlungen, Expertenbefragung, Zertifizierung.
- Arbeit zitieren
- Stefan Beck (Autor:in), 2015, Zertifizierung nach ISO/IEC 27001:2013. Änderungsbedarf und Handlungsempfehlungen für Unternehmen aufgrund der Norm-Aktualisierung, München, GRIN Verlag, https://www.grin.com/document/295945