Lektion 2

15 min

Aufbau und Anforderungen

Du erfährst wie die ISO 27001 Norm aufgebaut ist und hast die Möglichkeit, den Reifegrad deiner Organisation in einer Selbsteinschätzung zu bestimmen.

Allgemein

In dieser Lektion erfährst alles über die ISO 27001 Anforderungen und den grundsätzlichen Aufbau der Norm. 

Die ISO 27001:2013 ist eine internationale Norm, die die Anforderungen an die Einrichtung, Umsetzung, Aufrechterhaltung und fortlaufende Verbesserung eines Informationssicherheitsmanagementsystem (ISMS) beschreibt.

Die Norm ist in zwei Bereiche aufgeteilt: den obligatorischen Managementrahmen und den Anhang A. Im Gegensatz zu den Controls (Maßnahmen) des Norm-Anhangs A, die im Rahmen der Anwendbarkeitserklärung (siehe Lektion Organisation) begründet abgewählt werden können, ist die Umsetzung der Vorgaben aus den Kapiteln 4–10 verpflichtend.

Versionierung

Lass dich durch die Jahreszahlen in den Versionsnummern der Norm nicht irritieren. Teilweise ist auch von der ISO 27001:2015 oder der ISO 27001:2017 die Rede. Hier sind lediglich die deutschen Übersetzungen gemeint.

Grundlage der Zertifizierung ist aber nach wie vor die englische Version aus dem Jahr 2013.

Während die ISO 27001 Anforderungen die Auditierungsgrundlage bilden, gibt die ISO 27002 hilfreiche Umsetzungshinweise mit auf den Weg. Es lohnt sich daher, wenn es an die Umsetzung der Anforderungen des Anhang A geht, ebenfalls einen Blick in die ISO 27002 zu werfen. Auch wenn dieses Normdokument, wie auch die ISO 27001, nur kostenpflichtig zu erwerben ist.

Aktualisierung der ISO 27001

Derzeit wird an einer Aktualisierung des Anhang A der ISO 27001 gearbeitet. In Zukunft wird der Anhang A aus 93 Controls anstelle der 114 jetzigen Controls bestehen. Bestehende Anforderungen werden in der Aktualisierung teilweise zusammengefasst und neue Anforderungen wie z.B. zu Cloud Security, Monitoring oder Datenlöschung kommen hinzu. Das genaue Erscheinungsdatum ist noch offen aber eine Veröffentlichung wird nicht vor Ende 2022 erwartet. Keine Sorge, auch nach der Veröffentlichung wird es eine Übergangsfrist geben, bis die Aktualisierung zur Zertifizierung herangezogen werden muss.