Suchen

ISO 27001:2013 beschreibt Risikobewertung detaillierter Änderungen am ISMS-Standard

| Redakteur: Stephan Augsten

Mit der neuen Revision ISO 27001:2013 wird dem Umstand Rechnung getragen, dass mitunter auch kleinere Unternehmen ein Information Security Management System (ISMS) benötigen. Die Norm orientiert sich jetzt enger an anderen Management-Standards wie ISO 9001 und wurde vor allem hinsichtlich der Risikokontrollmechanismen angepasst.

Firma zum Thema

Eine Checkliste der Information Security & Business Continuity Academy soll bei der Implementierung eines ISMS helfen.
Eine Checkliste der Information Security & Business Continuity Academy soll bei der Implementierung eines ISMS helfen.
(Bild: Andrea Danti - Fotolia.com)

Vor nicht knapp drei Wochen, am 25. September 2013, wurde die 2013er-Revision des Standards ISO/IEC 27001 veröffentlicht. Die neue Auflage der Norm wurde gemäß der sogenannten „High Level Structure”, die zur Entwicklung neuer Normen angewandt wird, mit dem Fokus auf die zehn wichtigsten Themen überarbeitet.

So wurden beispielsweise die Anforderungen an die Risikobewertung dem maßgebenden Risikomanagement-Standard ISO 31000 angepasst. Ebenso wurden die Anforderungen an das Management überarbeitet und in der Leadership-Klausel erfasst.

Trotz der Änderungen ist und bleibt die Planung und Umsetzung eines Informationssicherheits-Managementsystems (ISMS) nach ISO 27001 ein recht komplexes Unterfangen. Dies zeigt auch ein Diagramm der Information Security & Business Continuity Academy (IS&BCA), das den Implementierungsprozess visualisiert.

Dejan Kosutic, ISO-27001-Auditor und Studienleiter bei der IS&BCA, betont: „Unternehmen müssen nach wie vor Zeit und Arbeit investieren, um die jüngste Revision [ISO 27001:2013] einzuhalten.“ Um diese Aufgabe zu vereinfachen, hat die Akademie eine Checkliste aufgestellt, die schrittweise die wichtigsten Punkte zur Implementierung eines ISMS beleuchtet.

Der Leitfaden beginnt mit der Einschätzung der Reichweite des ISMS, hangelt sich über Richtlinien, Risikobeurteilung und andere wichtige Punkte weiter bis hin zu gesetzlichen, industriellen und vertraglichen Vorschriften. Anschließend wird auf interne Monitorings, Audits und Reviews ebenso eingegangen wie auf weniger wichtige Punkte.

(ID:42360726)