TEN Information Management GmbH

Wesentliche Änderungen der ISO/IEC 27006-1:2024 im Überblick

Die Überarbeitung der ISO27006 bringt entscheidende Anpassungen für ISMS-Audits nach ISO27001 – besonders für digitalisierte Unternehmen. Ich habe mich mal damit beschäftigt und folgende Kernpunkte identifiziert:

Neue Berechnungslogik für Audit-Tage

  • Mitarbeiterzahl statt Standorte: Die Auditzeit wird nun ausschließlich anhand der Anzahl der im ISMS-Scope arbeitenden Personen berechnet – inklusive Freelancer und externer Kräfte.
  • Standortrelevanz entfällt: Die frühere Pflicht, physische Standorte automatisch in die Berechnung einzubeziehen, wurde gestrichen. Stattdessen erfolgt die Verteilung der Audit-Tage nach Risikobewertung und Aktivitätsschwerpunkten.

Modernisierte Remote-Audit-Regeln

  • Flexiblere Remote-Anteile: Die frühere 30%-Obergrenze für Remote-Auditanteile entfällt. Stattdessen liegt der Fokus auf der Wirksamkeit der Methodik.
  • Klare Dokumentationspflicht: Für virtuell arbeitende Unternehmen ohne physische Standorte muss dies explizit im Auditbericht vermerkt werden.

Vereinfachte Auditor-Qualifikation

Keine starren Erfahrungswerte: Quantitative Vorgaben wie “4 Jahre Berufserfahrung” für Auditoren wurden gestrichen. Die Kompetenzbewertung erfolgt jetzt risikobasiert.

Technische Anpassungen

  • Kontrollen-Alignment: Annex E wurde an die aktualisierten Sicherheitskontrollen der ISO 27001:2022 angepasst.
  • Redundanzen entfernt: Doppelungen mit ISO/IEC 17021-1 (Allgemeine Anforderungen an Zertifizierungsstellen) wurden bereinigt.

Transparentere Multi-Site-Audits

Detailierte Vorgaben: Annex C liefert jetzt explizite Berechnungsmethoden für Überwachungsaudits, Rezertifizierungen und Multi-Site-Szenarien.

In Summe sind das alles m.E. sehr hilfreiche Anpassungen, um die Prüfungshandlungen von Zertifizierungsstellen bei geprüften Organisationen realistischer als bisher zu gestalten. Was mir auffällt: noch scheinen nicht alle Zertifizierungsstellen diese Änderungen umgesetzt zu haben. Jedenfalls hatte ich erst letzte Woche wieder ein Datenabfrage-Dokument bekommen, in dem nach wie vor nach der Anzahl der Standorte gefragt wurde – und in dem diese auch in die Berechnung des Audit-Aufwands eingegangen sind.

Tags

Beitrag teilen

Weitere Artikel

4 Fragestellungen in Vorbereitung auf Ihre IT-Sicherheitsprüfung

Viele Organisationen vertrauen darauf, dass die eigenen Systeme und Applikationen „schon irgendwie sicher sein werden“. Insbesondere, wenn Drittparteien wie IT-Services-Provider oder Cloud-Dienste zum Einsatz kommen, ist das Vertrauen in die IT-Sicherheit groß. Unsere Erfahrung zeigt:...
Weiterlesen

Bürokratie, Teil 748923: Von der Schwierigkeit, Rechnungen pünktlich zu bezahlen

Als Unternehmer kennt man das: wenn es wirtschaftlich nicht ganz so rund läuft, häufen sich manchmal die Außenstände. Die meisten Geschäftspartner bezahlen dann nach einer freundlichen Aufforderung, manchmal erlebt man aber auch abstruse Situationen. Von...
Weiterlesen

IT-Sicherheits-Trends 2022 im Jahresrückblick

Wenn wir auf das Jahr 2022 zurückblicken, erinnern wir uns an eine Vielzahl von IT-Sicherheitsbedrohungen und -vorfällen. Einige der wichtigsten Ereignisse und Trends im Bereich der IT-Sicherheit im vergangenen Jahr waren: Ransomware und Datenlecks Ransomware:...
Weiterlesen