ISO 27001 - Versionen 2005 und 2013, wo sind die Unterschiede

von Ingo Kaiser

Seit 1. Okt. 2013 ist der neue Standard ISO/IEC 27001:2013 verbindlich anzuwenden und ersetzt seitdem den Vorläufer ISO/IEC 27001:2005. 2005er Zertifizierungen behalten aber bis zu ihrem Ablauf noch ihre Gültigkeit. Zum 25. September diesen Jahres müssen diese aber auf 2013 angepasst werden. Wo liegen die wichtigsten Unterschiede zwischen der alten und neuen Version?

WAS HAT SICH GEÄNDERT

Zu den wichtigsten Änderungen zählen die Überarbeitung und Ergänzung von Definitionen. Es wurden neue Klauseln geschaffen, durch anpassen der Kontrollen Definitionen klarer formuliert und vor allem Zielfestlegung sowie Leistungs- und Werteüberwachung stärker in den Fokus genommen. Zwar ist die Anzahl der Kapitel um zwei und die Anzahl der Control Sections um 4 gestiegen, gleichzeitig wurden aber die Control Objectives und Controls um 10-20 Prozent gesenkt.

Dejan Kosutic von der 27001 Academy hat die wichtigsten Überschneidungen und Änderungen in einer übersichtlichen Grafik zusammengefasst:

FAZIT

Die Überarbeitung des Standards für Informationssicherheit ist durchaus sinnvoll. Wer also dieses Jahr auf 2013 umsatteln muss, sollte sich nicht sträuben. Die Fokussierung auf die Risiken stellt eine deutliche und sinnvolle Anpassung dar. Hierdurch wird nicht mehr nur „stur“ nach der Erfüllung von Kontrollen gefragt ...

Zum vollständigen Artikel


Cookies helfen bei der Bereitstellung unserer Dienste. Durch die Nutzung erklären Sie sich mit der Cookie-Setzung einverstanden. Mehr OK