Was ist der Unterschied zwischen ISO 27001:2013 und ISO 27001:2017?

Der Unterschied in den ISO 27001-Versionen

IIn praktischer Hinsicht hat sich zwischen 2013 und 2017 sehr wenig geändert ISO 27001 Standards bis auf ein paar kleinere kosmetische Punkte und eine kleine Namensänderung.

Die neueste veröffentlichte Version des ISMS-Standards ist – BS EN ISO/IEC 27001: 2017.

Das ISO Die Version des Standards (2013) war von der Veröffentlichung 2017 und den Änderungen nicht betroffen unterlassen Sie neue Anforderungen einführen.

Für diejenigen, die eine suchen UKAS akkreditiert ISO Zertifizierung 27001UKAS ist nach dem ISO-Standard akkreditiert, daher gibt es keine Änderungen, die sich auf Ihren Zertifizierungsstatus auswirken, und daher werden durch diese Überarbeitung keine zusätzlichen Übergangsaktivitäten eingeführt.

Die Änderung von 2017 wurde eingeführt, um die Genehmigung der EN-Bezeichnung („Europäische Norm“) durch CEN/CENELEC anzuzeigen.

Die aktualisierte BS enthält jedoch zwei zuvor herausgegebene Berichtigungen/Änderungen zu ISO 27001:2013, insbesondere in Abschnitt 6.1.3 und Anhang A Abschnitt 8.1.

Werfen wir einen Blick auf den Inhalt dieser Berichtigungen:

Berichtigung 1: ISO/IEC 27001:2013/Cor.1:2014(en) – erschienen 2014

A.8.1.1 (Inventar der Vermögenswerte) ersetzt den Zieltext der Kontrolle durch:

„Mit Informationen und Informationsverarbeitungsanlagen verbundene Vermögenswerte sind zu identifizieren und ein Inventar dieser Vermögenswerte zu erstellen und zu führen.“

zu:

„Informationen, andere mit Informationen verbundene Vermögenswerte und Informationsverarbeitungsanlagen müssen identifiziert werden und es ist ein Verzeichnis dieser Vermögenswerte zu erstellen und zu führen.“

Durch die Änderung wurde dies deutlich gemacht Information Auch die Anlage selbst muss als Vermögenswert betrachtet und in die Bestandsaufnahme einbezogen werden.

Für diejenigen, die verwenden ISMS.online, die Hinweise in Unterabschnitt A.8.1.1, zusammen mit unserem Virtueller ISO 27001-Coach, berücksichtigen Sie dies vollständig.

Im Gegensatz zu einigen der älteren Tools auf dem Markt ISMS.online verwendet eine Informationsressourcenbasierter Ansatz für das Risikomanagement Sie können also sicher sein, dass diese wichtige Änderung berücksichtigt wurde.

Erfahren Sie mehr über So erstellen Sie ein Asset-Inventar.

Klicken Sie hier, um ein größeres Bild davon anzuzeigen, wie wir die ISMS.online-Plattform für ISO 27001 nutzen

Berichtigung 2: ISO/IEC 27001:2013/Cor.2:2015(en) – veröffentlicht am 1

Dies beinhaltete Änderungen am Unterabschnitt. 6.1.3 (Behandlung von Informationssicherheitsrisiken) und insbesondere Punkt d) über die Erklärung zur Anwendbarkeit (Statement of Applicability, SoA). Es handelte sich lediglich um eine kosmetische Anpassung, bei der der erforderliche Inhalt für eine SoA vom Hauptabsatz in separate Aufzählungszeichen getrennt wurde, um klarer zu machen, dass eine SoA mindestens vier Elemente enthalten muss:

• Die notwendigen Kontrollen zur Umsetzung der Behandlung von InformationssicherheitsrisikenDabei werden nicht nur die in Anhang A aufgeführten berücksichtigt, sondern auch die von der Organisation nach Bedarf entwickelten Kontrollen sowie andere aus beliebigen Quellen identifizierte Kontrollen (z. B. Kontrollen aus der NIST SP 800-Dokumentenreihe).

• Begründung für die Einbeziehung dieser Kontrollen

• Der Kontrollstatus (z. B. implementiert oder nicht)

• Die Begründung für den Ausschluss eines der Anhang A-Kontrollen

Die ISO 27001-Anwendbarkeitserklärung wird oft als eine der mühsamsten Aufgaben in der Norm angesehen, sowohl bei der Erstellung als auch bei der Aktualisierung. Sie können unseren Artikel lesen, Erklärung zur Anwendbarkeit vereinfacht um mehr zu erfahren.

Klicken Sie hier, um ein größeres Bild davon anzuzeigen, wie wir unsere Produkte pflegen Erklärung zur Anwendbarkeit in der Plattform ISMS.online

Wie Sie die Veränderungen angehen

/software-features/Mit ISMS.onlineDie Korrigendumselemente wurden sowohl in Bezug auf die Anleitung als auch auf die Tools, die Sie verwenden werden, um Ihre ISO 27001-Implementierung zu beschleunigen, integriert und Reduzieren Sie die laufende Verwaltungszeit Ihres ISMS.