Informationssicherheits-Management: Umstellung auf die neue ISO/IEC 27001:2013

Auf seiner 27. Generalversammlung hat das International Accreditation Forum (IAF) eine zweijährige Einführungsfrist für die revidierte Version des international anerkannten Standards für Informationssicherheits-Management ISO/IEC 27001:2013 („Informationstechnik - IT-Sicherheitsverfahren - Informationssicherheits-Managementsysteme – Anforderungen“) beschlossen.

Die Übergangsfrist für bestehende Zertifikate nach der Vorgängernorm ISO/IEC 27001:2005 endet danach am 1. Oktober 2015. Schon ein Jahr früher, also ab 1. Oktober 2014, dürfen bei Erst- und Re-Zertifizierung nur noch Zertifikate auf der Grundlage der neuen Norm ausgestellt werden. Die Umstellung erfolgt auf der Basis eines Audits im Unternehmen.

Antragstellung notwendig

Für akkreditierte Zertifizierungsstellen wird die Umstellung auf die neue ISO/IEC 27001:2013 auf der Akkreditierungsurkunde ausgewiesen. Voraussetzung hierfür ist eine formale Antragstellung bei der Zentralen Antragsbearbeitung (ZAB) der DAkkS. Dazu werden das Formblatt zur Änderung der Akkreditierung (72 FB 001) und die Anlage 72 FB 005.5 benötigt. Dem Antrag ist außerdem beizufügen:

• der Umstellungsplan der Zertifizierungsstelle mit einem Verzeichnis erteilter Zertifikate ISO 27001:2005
• eine Liste der zugelassenen ISMS-Auditoren
• die Nachweise der Schulungen zur ISO/IEC 27001:2013

Die Umstellung erfolgt auf Grundlage einer Dokumentenprüfung durch die zuständige Abteilung 6 der DAkkS. Um die genannten Fristen einzuhalten, müssen die vollständigen Anträge bis zum 31. März 2014 bei der DAkkS eingegangen sein.