ISO 27001: Das Verwirrspiel der englischen und deutschen Normbezeichnung

Viele Unternehmen, die ihre IT-Sicherheit normgerecht verbessern wollen oder müssen und sich für die ISO 27001 entschieden haben, stehen vor derselben Frage:

Welche der vom Beuth Verlag angebotenen Versionen ist die richtige?

Gerade für Einsteiger ist es recht kompliziert, denn die Bezeichnungen der unterschiedlichen Normversionen könnten kaum verwirrender sein, sodass es schwerfällt, auf den ersten Blick zu erkennen, welche Fassung relevant ist und umgesetzt werden muss, um eine Zertifizierung zu erhalten.

Tatsächlich ist es aber gar nicht so kompliziert, wenn man die Hintergründe der Benennung versteht:

Die internationale Norm ISO/IEC 27001:2022 wurde bereits 2022 veröffentlicht – doch in Deutschland ist die offizielle, übersetzte und harmonisierte Fassung erst im Januar 2024 unter der Bezeichnung: DIN EN ISO/IEC 27001:2024-01 erschienen.

Das sorgt für berechtigte Verwirrung. Organisationen wollen schließlich sicherstellen, dass sie ihr Informationssicherheits-Managementsystem (ISMS) nach der richtigen und gültigen Normversion aufsetzen.

Die ISO/IEC 27001:2022 ist also die aktuelle internationale Norm in englischer Sprache, und die DIN EN ISO/IEC 27001:2024-01 ist die inhaltlich identische und aktuelle Version in deutscher Sprache.

 

Auditvarianten bei der ISO 27001

Unternehmen können sich wahlweise nach der jeweils aktuellen Version der Norm in deutscher oder englischer Sprache zertifizieren lassen, sobald das implementierte ISMS den nötigen Reifegrad erreicht hat und die Anforderungen der Norm erfüllt.

Die Zertifizierungsaudits werden von DAkkS-akkreditierten Stellen durchgeführt. In der Regel findet zuvor ein internes Audit statt, das von einem unabhängigen Auditor durchgeführt wird, der nicht an der Implementierung des ISMS beteiligt war. Ein internes Audit dient dazu, Abweichungen frühzeitig zu erkennen und vor dem Zertifizierungsaudit zu beheben.

 

Was ist die ISO/IEC 27002?

Die ISO/IEC 27002 ist ein eigenständiger Leitfaden, der die Umsetzung von Informationssicherheitsmaßnahmen beschreibt und die ISO/IEC 27001 ergänzt. Während die 27001 die Anforderungen an ein Informationssicherheits-Managementsystem (ISMS) festlegt, liefert die 27002 konkrete Empfehlungen und bewährte Praktiken, um diese Anforderungen in der Praxis umzusetzen. Gemeinsam bilden beide Normen die Grundlage für ein effektives und zertifizierbares ISMS.

Wenn Sie einen erfahrenen Berater für die Umsetzung hinzuziehen, verfügt dieser in der Regel über das nötige Wissen und die erforderlichen Prozesse und Dokumente. In den meisten Fällen benötigen Sie die ISO 27002 dann nicht separat erwerben, da der Berater die Norm kennt und die besten Praktiken für die Implementierung in Ihrem Unternehmen vermittelt und anwendet.

 

Frühere Versionen

Alle früheren Versionen, wie die ISO/IEC 27001:2013 (englisch) bzw. DIN EN ISO/IEC 27001:2017 (deutsch), sind heute nicht mehr aktuell, wenn es um die Implementierung eines ISMS in Unternehmen geht. Mit der aktuellen Version der Norm wurden wesentliche Änderungen vorgenommen, unter anderem:

Anhang A – Kontrollmaßnahmen

  • Kontrollen reduziert: von 114 auf 93 durch Zusammenlegung und Streichung
  • Neue Struktur: Organisatorisch (37), Personenbezogen (8), Physisch (4), Technologisch (34)
  • 11 neue Kontrollen, u.a. zu Bedrohungsintelligenz, Cloud-Sicherheit und sicherem Software-Engineering
  • Neue Attribute für jede Kontrolle: Typ, Implementierungsstatus, Zuständigkeit, Relevanz, Implementierungszeitpunkt

Datenschutzintegration

  • Normtitel erweitert auf Informationssicherheit, Cybersicherheit und Datenschutz
  • Stärkerer Fokus auf Schutz personenbezogener Daten und Integration in das ISMS

Struktur und Sprache

  • Präzisere Anforderungen für einfachere Umsetzung und Zertifizierung
  • Bessere Anpassung an andere ISO-Managementsystemnormen zur Integration

 

Übergangsregelung für bestehende Zertifikate

Zertifikate nach der Vorgängerversion ISO/IEC 27001:2013 bzw. DIN EN ISO/IEC 27001:2017 behalten ihre Gültigkeit bis zum 31. Oktober 2025. Bis zu diesem Datum muss ein Transition-Audit auf die neue Norm durchgeführt werden, um die Zertifizierung weiterhin aufrechtzuerhalten. Danach verlieren Zertifikate der alten Version ihre Gültigkeit.

 

Schritte für die Umstellung:

  • Gap-Analyse
    Vergleich der bestehenden Dokumentation und Prozesse mit den Anforderungen der ISO/IEC 27001:2022, um Lücken zu identifizieren.
  • Anpassung der Dokumentation
    Überarbeitung von Richtlinien, Risikobewertungen, Prozessanweisungen und dem Statement of Applicability (SoA) gemäß den neuen Anforderungen.
  • Schulung der Mitarbeiter
    Information und gezielte Schulung aller Mitarbeiter, die am ISMS beteiligt sind, zu den Änderungen und neuen Anforderungen.
  • Auditierung und Rezertifizierung
    Durchführung interner Audits zur Vorbereitung auf das Transition-Audit und anschließende Rezertifizierung durch die zuständige Zertifizierungsstelle.

 

Kurz gesagt:

  • ISO/IEC 27001:2022 – internationale Originalfassung, gültig und zertifizierbar
  • DIN EN ISO/IEC 27001:2024-01 – offizielle deutsche Version, gültig und zertifizierbar
  • ISO/IEC 27002 – Leitfaden für Sicherheitskontrollen zur Umsetzung eines ISMS
  • Übergangsfrist – für bestehende Zertifikate bis 31.10.2025

 

Unser Angebot zur ISO 27001

  • Aufbau und Implementierung eines ISMS
  • Durchführung von internen Audits
  • Gap-Analysen zur neuen Norm
  • Schulungen und Awareness-Trainings
  • Begleitung durch das Zertifizierungsaudit

 

Wir unterstützen Sie bei allen Schritten – und stellen auf Wunsch auch den externen Informationssicherheitsbeauftragten.
Ob in Bayern, Baden-Württemberg oder bundesweit – wir sind für Sie da.

 

➡️ Jetzt kostenloses Erstgespräch sichern und IT-Sicherheit verbessern

✉ Kostenloses Erstgespräch

 

Wir sind Experten für Datenschutz und IT-Sicherheit – seit 2003

Unsere erfahrenen Spezialisten unterstützen Sie unter anderem bei:

– der Einführung und Beachtung von DSGVO, BDSG und TTDSG
– der Umsetzung von ISO 27001, TISAX, PCI-DSS oder NIS-2
– der Vorbereitung auf Audits und Zertifizierungen

 

tec4net GmbH – Datenschutz und IT-Sicherheit praktikabel umsetzen.

www.tec4net.comwww.it-news-blog.comwww.it-sachverstand.infowww.datenschutz-muenchen.comwww.it-sicherheit-muenchen.com

 

Alle unsere NEWS -> http://news.tec4net.comhttps://x.com/tec4net