TEN Information Management GmbH

Wesentliche Änderungen der ISO/IEC 27006-1:2024 im Überblick

Die Überarbeitung der ISO27006 bringt entscheidende Anpassungen für ISMS-Audits nach ISO27001 – besonders für digitalisierte Unternehmen. Ich habe mich mal damit beschäftigt und folgende Kernpunkte identifiziert:

Neue Berechnungslogik für Audit-Tage

  • Mitarbeiterzahl statt Standorte: Die Auditzeit wird nun ausschließlich anhand der Anzahl der im ISMS-Scope arbeitenden Personen berechnet – inklusive Freelancer und externer Kräfte.
  • Standortrelevanz entfällt: Die frühere Pflicht, physische Standorte automatisch in die Berechnung einzubeziehen, wurde gestrichen. Stattdessen erfolgt die Verteilung der Audit-Tage nach Risikobewertung und Aktivitätsschwerpunkten.

Modernisierte Remote-Audit-Regeln

  • Flexiblere Remote-Anteile: Die frühere 30%-Obergrenze für Remote-Auditanteile entfällt. Stattdessen liegt der Fokus auf der Wirksamkeit der Methodik.
  • Klare Dokumentationspflicht: Für virtuell arbeitende Unternehmen ohne physische Standorte muss dies explizit im Auditbericht vermerkt werden.

Vereinfachte Auditor-Qualifikation

Keine starren Erfahrungswerte: Quantitative Vorgaben wie “4 Jahre Berufserfahrung” für Auditoren wurden gestrichen. Die Kompetenzbewertung erfolgt jetzt risikobasiert.

Technische Anpassungen

  • Kontrollen-Alignment: Annex E wurde an die aktualisierten Sicherheitskontrollen der ISO 27001:2022 angepasst.
  • Redundanzen entfernt: Doppelungen mit ISO/IEC 17021-1 (Allgemeine Anforderungen an Zertifizierungsstellen) wurden bereinigt.

Transparentere Multi-Site-Audits

Detailierte Vorgaben: Annex C liefert jetzt explizite Berechnungsmethoden für Überwachungsaudits, Rezertifizierungen und Multi-Site-Szenarien.

In Summe sind das alles m.E. sehr hilfreiche Anpassungen, um die Prüfungshandlungen von Zertifizierungsstellen bei geprüften Organisationen realistischer als bisher zu gestalten. Was mir auffällt: noch scheinen nicht alle Zertifizierungsstellen diese Änderungen umgesetzt zu haben. Jedenfalls hatte ich erst letzte Woche wieder ein Datenabfrage-Dokument bekommen, in dem nach wie vor nach der Anzahl der Standorte gefragt wurde – und in dem diese auch in die Berechnung des Audit-Aufwands eingegangen sind.

Tags

Beitrag teilen

Weitere Artikel

Mitarbeiter größere Gefahr für IT-Sicherheit als Hacker

In den vergangenen zwei Jahren waren mehr als ein Drittel (37 Prozent) aller Cybersicherheitsvorfälle in Deutschland auf das Fehlverhalten von Mitarbeitern zurückzuführen. Hacker verantworteten lediglich rund 27 Prozent der Cybersicherheitsvorfälle. Häufig standen die Sicherheitsvorfälle in...
Weiterlesen

Telefonbetrug mittels KI

Vor einigen Monaten berichtete der BR über Angriffe, die sehr ähnlich dem analogen “Enkel-Trick” funktionieren. Angreifer geben sich als ein nahes Familienmitglied aus und suggerieren, sich in einer Notlage zu befinden – und dringend Geld...
Weiterlesen

IT-Sicherheit in der Cloud

„The cloud is another name for “someone else’s computer,” and you need to understand how much or how little you trust that computer.“ (Bruce Schneier). Das Zitat stammt aus dem Kontext des LastPass Breaches aus...
Weiterlesen