TEN Information Management GmbH

Wesentliche Änderungen der ISO/IEC 27006-1:2024 im Überblick

Die Überarbeitung der ISO27006 bringt entscheidende Anpassungen für ISMS-Audits nach ISO27001 – besonders für digitalisierte Unternehmen. Ich habe mich mal damit beschäftigt und folgende Kernpunkte identifiziert:

Neue Berechnungslogik für Audit-Tage

  • Mitarbeiterzahl statt Standorte: Die Auditzeit wird nun ausschließlich anhand der Anzahl der im ISMS-Scope arbeitenden Personen berechnet – inklusive Freelancer und externer Kräfte.
  • Standortrelevanz entfällt: Die frühere Pflicht, physische Standorte automatisch in die Berechnung einzubeziehen, wurde gestrichen. Stattdessen erfolgt die Verteilung der Audit-Tage nach Risikobewertung und Aktivitätsschwerpunkten.

Modernisierte Remote-Audit-Regeln

  • Flexiblere Remote-Anteile: Die frühere 30%-Obergrenze für Remote-Auditanteile entfällt. Stattdessen liegt der Fokus auf der Wirksamkeit der Methodik.
  • Klare Dokumentationspflicht: Für virtuell arbeitende Unternehmen ohne physische Standorte muss dies explizit im Auditbericht vermerkt werden.

Vereinfachte Auditor-Qualifikation

Keine starren Erfahrungswerte: Quantitative Vorgaben wie “4 Jahre Berufserfahrung” für Auditoren wurden gestrichen. Die Kompetenzbewertung erfolgt jetzt risikobasiert.

Technische Anpassungen

  • Kontrollen-Alignment: Annex E wurde an die aktualisierten Sicherheitskontrollen der ISO 27001:2022 angepasst.
  • Redundanzen entfernt: Doppelungen mit ISO/IEC 17021-1 (Allgemeine Anforderungen an Zertifizierungsstellen) wurden bereinigt.

Transparentere Multi-Site-Audits

Detailierte Vorgaben: Annex C liefert jetzt explizite Berechnungsmethoden für Überwachungsaudits, Rezertifizierungen und Multi-Site-Szenarien.

In Summe sind das alles m.E. sehr hilfreiche Anpassungen, um die Prüfungshandlungen von Zertifizierungsstellen bei geprüften Organisationen realistischer als bisher zu gestalten. Was mir auffällt: noch scheinen nicht alle Zertifizierungsstellen diese Änderungen umgesetzt zu haben. Jedenfalls hatte ich erst letzte Woche wieder ein Datenabfrage-Dokument bekommen, in dem nach wie vor nach der Anzahl der Standorte gefragt wurde – und in dem diese auch in die Berechnung des Audit-Aufwands eingegangen sind.

Tags

Beitrag teilen

Weitere Artikel

Über Sinn und Unsinn von Compliance Automatisierungs-Plattformen

Auf der Suche nach Werkzeugen, die Sie bei der Umsetzung von ISO 27001 oder SOC 2 unterstützen, werden Sie auch auf sogenannte (Compliance-)Automatisierungsplattformen stoßen, die Ihnen versprechen, bis zu 90% der Arbeit abzunehmen, indem sie...
Weiterlesen

Interne Audits für Ihr ISO 27001-konformes ISMS

Die ISO 27001 fordert von Ihnen, regelmäßig ein sog. Internes Audit (engl. Internal Audit) Ihres ISMS (Informationssicherheitsmanagementsystem) durchzuführen, um die Standard-Konformität zu überprüfen. Obgleich es „internes Audit“ heißt, dürfen – und sollten – Sie selbstverständlich...
Weiterlesen

Die Schattenseiten der Videoüberwachung: Wie schlecht umgesetzte Überwachung die IT-Sicherheit gefährdet

Videoüberwachung ein gängiges Mittel, um die Sicherheit in Unternehmen zu erhöhen. Sie soll Diebstähle verhindern, Mitarbeiter schützen und insgesamt ein sicheres Arbeitsumfeld schaffen. Doch was passiert, wenn die Videoüberwachung selbst zur Schwachstelle wird? Schlecht implementierte...
Weiterlesen