Österreich

ISO/IEC 27001:2013 ermöglicht optimale Vorbereitung
auf die neue ISO 9001

 

Die novellierte ISO/IEC 27001:2013 nimmt eine Vorreiterrolle ein, wenn es darum geht sich auf die kommenden harmonisierten ISO-Normen einzustellen. Im Interview dazu: Normungsexperte DI Thomas Szabo.

 

(CIS-Newsletter Juni 2014)

 

Herr Szabo, welche Vorteile bringt die zeitnahe Umsetzung der neuen ISO/IEC 27001:2013 für die Anwendergemeinschaft von ISO 9001?
Thomas SzaboDie gesamte ISO-Managementsystem-Normung befindet sich seit dem Jahr 2012 im Umbruch. Im April 2012 wurde Annex SL der ISO-Direktiven verbindlich, seitdem müssen neue ISO-Normen für Managementsysteme und Revisionen dieselbe Struktur, denselben Kern-Text und dieselbe Terminologie anwenden. Die Harmonisierungswelle hat mittlerweile eine große Dynamik entwickelt. Rund zehn Standards sind inzwischen gemäß der neuen Vorgaben mit harmonisierter Struktur publiziert worden – allerdings überwiegend mit einem relativ kleinen Anwender-Bereich wie z.B. ISO 20121 für nachhaltiges Veranstaltungsmanagement. ISO/IEC 27001:2013 ist die erste ISO-Norm, die bereits eine große, zertifizierte Anwender-Basis besitzt – diese überschreitet weltweit bereits die 20.000er Marke und verzeichnet rund 2.000 Neuzertifizierungen jährlich.
 

Welche Vorteile können Anwender von der neuen ISO/IEC 27001 in Bezug auf die Nutzung anderer Standards wie ISO 9001 erwarten?
Die Version 2013 der ISO 27001 enthält bereits die harmonisierte Kapitelstruktur, die alle zukünftigen ISO-Standards für Managementsysteme auch erhalten werden: Kontext der Organisation, Führung, Planung, Unterstützung, Betrieb, Bewertung der Leistung, Verbesserung. Das heißt nicht, dass nunmehr alle Organisationen die gleiche Struktur für ihre Systembeschreibungen anwenden müssen – davor soll ausdrücklich gewarnt werden. Denn die Struktur einer Systembeschreibung soll den eigenen Bedürfnissen und nicht jenen externer Auditoren dienen. Eine harmonisierte Struktur der Normen wird aber die Arbeit mit ihnen und die Integration der Systeme wesentlich erleichtern. Anwender von ISO 27001 werden sich schon jetzt mit den Konzepten hinter dieser Struktur auseinandersetzen und optimal vorbereitet sein, wenn im 3. Quartal 2015 die neuen Versionen von ISO 9001 und ISO 14001 verfügbar sind. Denn der harmonisierte Text macht mehr als drei Viertel der Systemanforderungen in den Kapiteln 4 bis 10 in der neuen ISO 27001 aus. Dieser Anteil wird in der neuen ISO 9001 etwa 40 % ausmachen – natürlich fokussiert auf andere Systemziele. Die gleiche Wortwahl wird jedoch eine wesentliche Erleichterung mit sich bringen.

 

Welche neuen Konzepte stecken hinter der harmonisierten Struktur?
Im Rahmen dieses Beitrages eine volle Analyse der gemeinsamen Begriffe, der gemeinsamen Struktur und des gemeinsamen Kern-Textes liefern zu wollen, würde den Rahmen sprengen. Drei Aspekte verdienen jedoch Hervorhebung:
- die Einbindung des Systems in die Strategie der Organisation,
- das Risiko-basierte Denken,
- die Einführung des Begriffes „dokumentierte Information“.

 

Was heißt die Einbindung des Systems in die Strategie der Organisation?
03_Zahnrad_webAusgangspunkt aller Managementsystem-Normen ist nach dem neuen Schema der Kontext der Organisation: die Möglichkeiten und Herausforderungen des externen Umfeldes, die eigenen Stärken und Schwächen. Das ist der Kernpunkt jeder strategischen Planung – eine solche Planung wird zwar nicht direkt eingefordert, sehr wohl aber eine nachweisliche Betrachtung der relevanten Aspekte. Die Standpunkte interessierter Parteien gehören eigentlich zum Kontext, sie sind aber auch separat zu betrachten. Denn der Kontext kann von den Stakeholdern anders beurteilt werden, als von der Organisation selbst. Das eingerichtete System muss dem eigenen Kontext der Organisation und den Anforderungen ihrer relevanten interessierten Parteien genügen – das System muss auf die Organisation und ihre Strategie „maßgeschneidert“ sein.

 

Risiken und ihre Behandlung waren schon immer ein zentraler Bestandteil der ISO 27001. Welche Neuerungen bringt die Version 2013 im Bereich Risikomanagement?
Nach dem harmonisierten Konzept sind die Risiken und Chancen sowohl aus dem Kontext der Organisation als auch aus den Anforderungen der interessierten Parteien zu ermitteln. Neu ist hier, dass Risiken und Chancen gleichzeitig genannt werden. Beide Wörter beschreiben das Ungewisse: Risiko ist die Chance zu gewinnen oder zu verlieren. Eine Chance nutzen heißt Risiko nehmen. Im Kontext der Informationssicherheit wird – verständlicherweise – eher die Negativseite betrachtet, also diverse Bedrohungen. Die Chance ist dagegen, Maßnahmen einzuleiten, die im normativen Annex A der alten und der neuen ISO 27001 als „Controls“ im Detail vorgegeben sind. Gewöhnungsbedürftig wird aber sein, dass diese Maßnahmen selbst Risiken bergen: Es gibt keine absolute Sicherheit. Wir können durch systematische Maßnahmen lediglich die Wahrscheinlichkeit erhöhen, die Systemziele zu erreichen. Wir sind hier in einem Lernprozess – vom deterministischen zum stochastischen Verständnis menschlicher Systeme. Dabei kann ISO 27001 nützliche Impulse bieten. Denn das harmonisierte Konzept fordert generell keine Risikobewertung. In diesem Punkt geht ISO 27001 inhaltlich darüber hinaus und sieht Risikobewertungen in starker Anlehnung an ISO 31000 vor. Andere Normen werden hier weniger spezifisch.

 

Was bedeutet der neue Begriff „dokumentierte Information“?
Dies ist eigentlich nur eine kleine Änderung gegenüber früheren Managementsystem-Normen. In den bisherigen Normen wurde der Begriff „Dokument“ verwendet – im Sinne der ISO 9000: Information und ihr Trägermedium. Das Wort Dokument hatte jedoch einen „Papiergeruch“: von Vielen als Urkunde, Zeugnis oder Vorgabedokument missverstanden. Die einfache Änderung des Wortes trägt der Tatsache Rechnung, dass Information überwiegend auf elektronischen Medien gespeichert wird. Dabei wird auch klargemacht, dass es um Informationslenkung im Allgemeinen geht. Dank der Informationstechnologie können wir z.B. immer leichter und schneller „dokumentierte Informationen“ zur Verfügung stellen. Dabei könnte man im Sinne des Integrationsgedankens überlegen:

- Ad ISO 9001: ob diejenigen, die sie für ihre Leistung benötigen, erreicht werden?
- Ad ISO/IEC 27001: ob Informations-Lecks möglich sind?
- Ad OHSAS 18001: ob manche mit unnötiger Information lediglich belästigt werden?

 

Inwieweit kann die Umsetzung der Systemänderungen auf die zukünftigen, harmonisierten Normen mit der Einführung der ISO/IEC 27001:2013 im Großen und Ganzen als erledigt gelten?
Hier ist natürlich Vorsicht geboten, da es bei den einzelnen ISO-Standards um sehr unterschiedliche Aspekte sowie um diverse Fachbereiche und Personen innerhalb einer Organisation geht. Ihre Zusammenarbeit und die Systemintegration werden durch die Harmonisierung erleichtert – die konkreten Schritte können aber je nach Kontext unterschiedlich sein. Und Systemintegration passiert nicht durch die „Systempfleger“ allein – echte Integration passiert an jedem einzelnen Arbeitsplatz.

DI Thomas Szabo ist Normungsexperte bei der Zertifizierungsorganisation Quality Austria. Als Kooperationspartner bieten CIS und Quality Austria effiziente Kombi-Audits für alle ISO-Managementnormen an.

 

________________________
Für den Inhalt verantwortlich:
CIS - Certification & Information Security Services GmbH, T +43 (0)1 532 98 90, office@cis-cert.com

 


 

 
 
CIS - Certification & Information Security Services GmbH T +43 (0)1 532 98 90 office@cis-cert.com Impressum

AGB