Nach aktuellem Stand ist die ISO/IEC 27001:2017-06 die aktuelle Version, nach der zertifiziert werden darf. Allerdings wird ebendiese aktuell überarbeitet - eine finale Version wird noch in 2022 erwartet. Da sich wie im vorherigen Blog-Eintrag bereits dargestellt, die Änderungen im Wesentlichen auf den Anhang beziehen, werden im Hauptkapitel (Kapitel 4-10) keine wesentlichen Änderungen erwartet. Bis die neue ISO/IEC 27001-Norm veröffentlicht und verabschiedet wurde, ergeben sich für bestehende Zertifikate keine Auswirkungen. Und auch für die Zeit nach Veröffentlichung erst einmal nicht.
Mit Umstellung der ISO 27001, müssen auch alle nach 27001 akkreditieren Stellen - so auch die ESecurity-CERT GmbH - einen Antrag auf Änderung der Akkreditierung stellen. In Deutschland hierfür verantwortlich ist die Deutsche Akkreditierungsstelle GmbH (DAkkS). Dieser Prozess wird einige Zeit in Anspruch nehmen, da seitens der DAkkS alle entsprechenden Stellen überprüft werden müssen. Für diesen Übergang von der alten auf die neue ISO/IEC 27001-Norm ist durch die ESecurity-CERT GmbH ein Konzept zu erstellen, welches von der DAKkS u. a. dahingehend geprüft wird, wie die geprüften Organisationen über entsprechende Neuerungen informiert werden und wie die Schulungen der verantwortlichen Personen erfolgen soll. Gleichzeitig sind durch die ESecurity-CERT GmbH sämtliche vorhandenen Dokumente und Vorlagen anzupassen. Nach erfolgreicher Prüfung durch die DAkkS werden die zertifizierten Organisationen sukzessive auf die neue gültige ISO/IEC 27001-Norm im Rahmen der regelmäßigen Audits umgestellt.
Bis dahin bleibt unsere Empfehlung: Unternehmen mit einem implementierten ISMS, sollten die Um-stellung bereits beginnen zu planen und Ressourcen dafür bereitzustellen. Trotz „nur“ überwiegenden Änderungen des Anhangs A der ISO/IEC 27001, ist der Aufwand durch umfassende Strukturänderung der ISO/IEC 27002 nicht zu unterschätzen. Wir empfehlen - insbesondere da bisher noch keine Daten veröffentlicht wurden, bis wann die Umsetzung der neuen Anforderungen zu erfolgen hat - daher spätestens in 2023 ein Projekt zur Umstellung zu initiieren.
Haben Sie Fragen, so kontaktieren Sie uns gern.
Marc Alexander Luge | August 2022