Dieser Leitfaden richtet sich an Organisationen und Unternehmen, die die Aktualisierungen der Norm ISO 27001 erfolgreich umsetzen möchten. Ziel ist es, den Leser bei den notwendigen Veränderungsprozessen und der erfolgreichen Neu-Zertifizierung nach DIN ISO/IEC 27001:2013 seines Informationssicherheits-Managementsystems zu unterstützen.
Der Autor Stefan Beck ist seit über 10 Jahren als Experte für Informationssicherheit und Datenschutz tätig und berät Organisationen bei der Implementierung und Weiterentwicklung von Informationssicherheits-Managementsystemen (ISMS). Seine Erfahrungen gibt er in diesem Buch weiter.
Zunächst führt er dabei in die Entstehung der ISO/IEC-Norm ein, erläutert die wichtigsten Änderungen des Standards zum Vorgänger ISO 27001:2005 und gibt konkrete Vorschläge an die Hand, wie die neuen Anforderungen in einer Organisation umgesetzt werden können. Der Autor zeigt auf, wo die Prioritäten bei der Umsetzung der neuen Norm liegen und mit welchen Auswirkungen bei integrierten Managementsystemen (IMS) zu rechnen ist. Um den Aufwand für das Implementieren der Veränderungen praxisnah zu ermitteln, hat er weitere Experten befragt und die Ergebnisse zusammengetragen. Dieses Buch eignet sich daher hervorragend als Handlungsempfehlung zur Umstellung auf die internationale Zertifizierungsnorm ISO/IEC 27001:2013 und deren deutsche Übertragung ISO/IEC 27001:2015.
Inhaltsverzeichnis
1 Motivation
2 Zielsetzung der Masterarbeit
3 Internationale Normung
3.1 International Organization for Standardization (ISO)
3.2 International Electrotechnical Commission (IEC)
3.3 Die Entstehung einer neuen ISO/IEC-Norm
3.3.1 Vorstadium
3.3.2 Vorschlagsphase
3.3.3 Erstellungsphase
3.3.4 Komiteephase
3.3.5 Prüfungsphase
3.3.6 Zustimmungsphase
3.3.7 Veröffentlichungsphase
3.4 Änderungen an ISO-Dokumenten
3.5 Zertifizierung
4 Managementsysteme
4.1 Integriertes Managementsystem
4.2 Informationssicherheits-Managementsystem (ISMS)
4.3 Überblick über die ISO/IEC 27000-Reihe
4.4 Die ISO/IEC 27001
4.5 Entwicklungsschritte der ISO/IEC 27001
5 Die ISO/IEC 27001:2013
5.1 Gründe für die Aktualisierung
5.2 Geänderte ISO/IEC Direktiven
6 Änderungen an der ISO/IEC 27001:2013 gegenüber der ISO/IEC 27001:2005
6.1 Feststellung von Änderungen
6.2 Änderungen in der Anwendung der Norm
6.3 Änderungen in Kapitel 4
6.4 Änderungen in Kapitel 5
6.5 Änderungen in Kapitel 6
6.6 Änderungen in Kapitel 7
6.7 Änderungen in Kapitel 8
6.8 Änderungen in Kapitel 9
6.9 Änderungen in Kapitel 10
6.10 Änderungen an den Dokumentationsanforderungen
6.11 In der Version ISO/IEC 27001:2013 nicht mehr enthaltene Anforderungen
6.12 Änderungen am Erscheinungsbild
6.13 Wesentliche Änderungen im Anhang A
6.14 Auswirkungen der Änderungen auf die Zertifizierung
6.15 Auswirkungen der Änderungen auf Zertifizierungsstellen
7 Expertenbefragung
7.1 Entwicklung des Fragenkatalogs
7.2 Fragenkatalog
7.3 Pretest
7.4 Theoretische Grundlagen zur Auswertung
7.5 Ergebnisse der Expertenbefragung
7.6 Auswertung und wesentliche Erkenntnisse
8 Handlungsleitfaden für Anpassungen aufgrund der Aktualisierung der ISO/IEC 27001
8.1 Wesentliche Aktivitäten zu Kapitel 4
8.2 Wesentliche Aktivitäten zu Kapitel 5
8.3 Wesentliche Aktivitäten zu Kapitel 6
8.4 Wesentliche Aktivitäten zu Kapitel 7
8.5 Wesentliche Aktivitäten zu Kapitel 8
8.6 Wesentliche Aktivitäten zu Kapitel 9
8.7 Wesentliche Aktivitäten zu Kapitel 10
8.8 Potenzieller Änderungsbedarf an der Dokumentation
8.9 Potenzieller Änderungsbedarf aufgrund der Änderungen im Anhang A
8.10 Einschätzung der Änderungen
8.11 Voraussetzungen, Vorbereitung, Planung
8.12 Mögliche Strategien für die Anpassung eines ISMS
8.13 Möglicher Projektablaufplan zur Anpassung eines ISMS
9 Zusammenfassung
Zielsetzung & Themen
Die Arbeit untersucht die wesentlichen Änderungen zwischen der ISO/IEC 27001:2005 und der ISO/IEC 27001:2013, um Organisationen eine fundierte Grundlage für den notwendigen Anpassungsprozess ihres Informationssicherheits-Managementsystems (ISMS) zu bieten.
- Analyse der normativen Veränderungen und deren Auswirkungen auf das ISMS.
- Durchführung einer Expertenbefragung zur Einschätzung des praktischen Anpassungsbedarfs.
- Erstellung eines praxisorientierten Handlungsleitfadens für die Implementierung der neuen Anforderungen.
- Bewertung des Aufwands und der Herausforderungen bei der Umstellung auf die ISO/IEC 27001:2013.
Auszug aus dem Buch
3.3.1 Vorstadium
Im Projektschritt „Vorstadium“ werden für die vermeintlich zu bearbeitenden Themen sogenannte „preliminary work items“-Dokumente (kurz: PWI, dt. „vorläufiger Arbeitsauftrag“) erstellt. Für alle im Businessplan enthaltenen Themen sollte ein derartiges Dokument erstellt werden. Daneben werden für solche Themen PWIs verfasst, die nach derzeitigem Stand noch nicht die Reife für den nächsten Projektschritt besitzen und/oder für die noch kein Fertigstellungsdatum genannt werden kann. Diese Phase kann für die Ausarbeitung eines PWI oder eines initialen Entwurfs genutzt werden. Bevor dieser Projektschritt abgeschlossen und in den nächsten überführt werden kann, müssen die PWIs, Entwürfe etc. durch einfache Mehrheit der P-Mitglieder freigegeben werden. Der dabei anzuwendende Freigabeprozess ist der gleiche, wie im folgenden Projektschritt „Vorschlag“.
Zusammenfassung der Kapitel
1 Motivation: Die Arbeit erläutert die steigende Bedeutung der Informationssicherheit und die Notwendigkeit, Organisationen bei der Aktualisierung ihrer ISO/IEC 27001-Zertifizierung zu unterstützen.
2 Zielsetzung der Masterarbeit: Es werden die Ziele der Arbeit definiert, insbesondere die Analyse der Unterschiede zwischen der Version 2005 und 2013 der Norm sowie die Bereitstellung eines Handlungsleitfadens.
3 Internationale Normung: Dieses Kapitel beschreibt die Grundlagen der internationalen Normungsorganisationen (ISO, IEC) und den formalen Prozess der Erstellung neuer Normen.
4 Managementsysteme: Es erfolgt eine Definition von Managementsystemen und die Einführung in die ISO/IEC 27000-Reihe sowie die Bedeutung des ISMS für Organisationen.
5 Die ISO/IEC 27001:2013: Gründe für die Aktualisierung der Norm und die Bedeutung der geänderten ISO/IEC Direktiven für die neue Version werden dargelegt.
6 Änderungen an der ISO/IEC 27001:2013 gegenüber der ISO/IEC 27001:2005: Eine detaillierte Analyse der normativen Änderungen in den einzelnen Kapiteln 4 bis 10 sowie im Anhang A im Vergleich zur Vorgängerversion.
7 Expertenbefragung: Vorstellung der Methodik und Durchführung der Expertenbefragung zur Ermittlung des praktischen Anpassungsbedarfs und der Einschätzungen von Fachleuten.
8 Handlungsleitfaden für Anpassungen aufgrund der Aktualisierung der ISO/IEC 27001: Ein strukturierter Leitfaden, der konkrete Aktivitäten und Handlungsempfehlungen zur Anpassung des ISMS auf Basis der neuen Normvorgaben bietet.
9 Zusammenfassung: Abschließende Betrachtung der Ergebnisse, Fazit zur Revision der Norm und Ausblick auf die praktische Relevanz der erarbeiteten Handlungsempfehlungen.
Schlüsselwörter
ISO/IEC 27001, Informationssicherheit, ISMS, Managementsysteme, Normung, IT-Sicherheit, Zertifizierung, Risikomanagement, Annex SL, Expertenbefragung, Handlungsleitfaden, Gap-Analyse, Kontinuierlicher Verbesserungsprozess, Datensicherheit, Normaktualisierung
Häufig gestellte Fragen
Worum geht es in dieser Arbeit grundsätzlich?
Die Masterarbeit befasst sich mit der Aktualisierung der Informationssicherheitsnorm ISO/IEC 27001 von der Version 2005 zur Version 2013 und analysiert den daraus resultierenden Anpassungsbedarf für zertifizierte Organisationen.
Was sind die zentralen Themenfelder der Arbeit?
Zentrale Themen sind der Prozess der internationalen Normung, die Grundlagen von Managementsystemen, die spezifischen Änderungen der ISO/IEC 27001:2013 sowie die praktische Umsetzung dieser Änderungen in Form eines Handlungsleitfadens.
Was ist das primäre Ziel der Forschungsarbeit?
Das Ziel ist es, Organisationen einen strukturierten Leitfaden an die Hand zu geben, der den Veränderungsprozess bei der Umstellung auf die neue Normversion unterstützt und den geschätzten Aufwand transparent macht.
Welche wissenschaftliche Methode wird verwendet?
Die Arbeit basiert auf einer fundierten Literatur- und Dokumentenanalyse der Normvorgaben sowie einer qualitativen Expertenbefragung, um praxisnahe Erkenntnisse zu gewinnen.
Was wird im Hauptteil der Arbeit behandelt?
Der Hauptteil umfasst eine detaillierte Gegenüberstellung der Normenversionen, eine Analyse der Änderungen in den Kapiteln 4 bis 10, eine Auswertung der Expertenbefragung und einen detaillierten Handlungsleitfaden für die praktische Umsetzung.
Welche Schlüsselwörter charakterisieren diese Arbeit?
Wichtige Begriffe sind ISMS, ISO/IEC 27001, Informationssicherheit, Normaktualisierung, Risikomanagement, Zertifizierung und Management von IT-Sicherheitsprozessen.
Wie unterscheidet sich die neue Normversion hinsichtlich des Risikomanagements?
Die neue Norm verzichtet auf die verpflichtende Vorgabe eines starren PDCA-Zyklus und setzt verstärkt auf einen risikobasierten Ansatz, der sich enger an der allgemeinen Risikomanagementnorm ISO 31000 orientiert.
Welchen Stellenwert nimmt der Anhang A in der neuen Norm ein?
Der Anhang A ist weiterhin normativ und somit verpflichtend. Er wurde jedoch grundlegend überarbeitet, neu strukturiert und um modernere Maßnahmen, etwa für Cloud-Umgebungen oder mobile Endgeräte, ergänzt.
Welche Auswirkung hat die Umstellung auf integrierte Managementsysteme (IMS)?
Durch die neue "High Level Structure" (HLS) wird die Integration verschiedener Managementsysteme (z.B. ISO 9001 und ISO 27001) erleichtert, da sie auf einheitlichen Grundstrukturen und identischen Kerndefinitionen basieren.
- Arbeit zitieren
- Stefan Beck (Autor:in), 2015, Zertifizierung nach ISO/IEC 27001:2013. Änderungsbedarf und Handlungsempfehlungen für Unternehmen aufgrund der Norm-Aktualisierung, München, GRIN Verlag, https://www.grin.com/document/295945
