Die Anforderungen von ISO 27001 haben sich im Jahr 2013 im Vergleich zu der ersten Version aus dem Jahr 2005 beträchtlich verändert. So wurde die Grundstruktur der Norm nicht nur geändert, sondern auch wesentlich gestrafft.
Die ISO 27001 Norm verfolgt bei der Umsetzung eines Information Security Management System (ISMS) einen prozessorientierten Ansatz. Während in der früheren Version noch ein expliziter Verweis auf das PDCA-Modell bestand, ist dieses nun nicht mehr obligatorisch. Die Anforderungen gelten für alle Organisationsgrößen und Organisationsarten.
Die ISO 27001 enthält als Forderung, dass Unternehmen alle externen und internen Themen bestimmen und berücksichtigen, die sich auf ihre Fähigkeit zur erfolgreichen Umsetzung eines ISMS auswirken. Damit sind insbesondere die Unternehmenskultur, Umweltbedingungen, regulatorische Anforderungen, vertragliche und rechtliche Verpflichtungen, sowie offizielle Richtlinien in Bezug auf Governance gemeint. Von dem Top-Management der Organisation erwartet ISO 27001 eine Festlegung der Informationssicherheitspolitik sowie der Zuständigkeiten und Verantwortlichkeiten zur Umsetzung der Vorgaben. Außerdem muss sich die Organisation verpflichten, das Bewusstsein für Informationssicherheit im gesamten Unternehmen zu fördern.
Auch die Planung spielt bei der Zertifizierung nach ISO 27001 eine wichtige Rolle. So umfassen die Bestimmungen beispielsweise die Bewertung spezifischer Informationssicherheitsrisiken der Organisation sowie die Ausarbeitung eines Behandlungsplans. Die Verantwortung für die Festlegung der Risiken und deren Abwehr liegt allein bei der Organisation. Außerdem schreibt die Norm vor, dass das Unternehmen Ressourcen bereitstellen muss, um eine kontinuierliche Verbesserung sowie die Aufrechterhaltung und Verwirklichung des ISMS zu garantieren. ISMS-Informationen müssen zudem sorgfältig dokumentiert werden. In festgelegten Abständen müssen außerdem Leistungsbeurteilungen erstellt werden. Unternehmen müssen die Wirksamkeit ihres ISMS überprüfen, messen und analysieren. Dies geschieht ebenfalls in festgelegten Abständen.
Ein Katalog mit den wichtigsten Informationen sowie einen Anhang zu den relevanten Neuerungen seit 2013 finden Sie auf der Website der Dekra. Sobald das ISMS eingerichtet ist, geht es um die Klassifizierung der Unternehmenswerte. Dies geschieht ebenfalls wieder vor dem Hintergrund der drei Grundwerte Vertraulichkeit, Integrität und Verfügbarkeit. Diese Klassifizierung ist in drei Stufen untergliedert.
Stufe Eins umfasst beispielsweise öffentliche Dokumente, die bei einer Verfälschung einen für das Unternehmen eher unbedeutenden Schaden von bis zu 500 Euro verursachen. Dieser Stufe werden Dokumente zugeordnet, die selbst bei anhaltender Missachtung der ISO-Normen über eine Woche kaum zu einem erheblichen Schaden der Organisation führen können.
Die zweite Stufe umfasst unternehmensinterne Dokumente wie zum Beispiel Abrechnungen und Gehaltsdokumente. Kommt es hier zu Verstößen gegen die ISO-Norm zur Informationssicherheit, entstehen mäßige monetäre Schäden von bis zu 5000 Euro. Ein solcher Vorfall darf nicht länger als 24 Stunden anhalten.