Klausel 8.1 in ISO 27001:2013 vs. ISO 27001:2022
Klausel 8.1 der ISO 27001:2013 und ISO 27001:2022 behandelt beide die operative Planung und Steuerung. Es gibt jedoch einige wesentliche Unterschiede zwischen den beiden Klauseln.
In ISO 27001:2013 wird die Klausel einfach als "Operative Kontrolle" bezeichnet. In ISO 27001:2022 wird die Klausel als "Operative Planung und Steuerung" bezeichnet. Diese Änderung spiegelt wider, dass die Klausel nicht nur die Kontrolle von Prozessen betrifft, sondern auch deren Planung und Umsetzung.
Ein weiterer wesentlicher Unterschied besteht darin, dass ISO 27001:2022 von Organisationen verlangt, Kriterien für die Prozesse festzulegen. Das bedeutet, dass Organisationen definieren müssen, wie Erfolg für jeden Prozess aussieht und wie sie ihn messen werden. ISO 27001:2013 hatte diese Anforderung nicht.
ISO 27001:2022 verlangt auch von Organisationen, die Prozesse gemäß den Kriterien zu steuern. Das bedeutet, dass Organisationen Maßnahmen ergreifen müssen, um sicherzustellen, dass die Prozesse effektiv sind und ihre Ziele erreichen. ISO 27001:2013 verlangte nur, dass Organisationen Kontrollen implementieren.
Schließlich verlangt ISO 27001:2022, dass dokumentierte Informationen in dem Maße verfügbar sein müssen, wie es erforderlich ist, um sicherzustellen, dass die Prozesse wie geplant durchgeführt wurden. Das bedeutet, dass Organisationen Aufzeichnungen über ihre Prozesse und die Ergebnisse ihrer Aktivitäten führen müssen. ISO 27001:2013 hatte diese Anforderung nicht.
Insgesamt sind die Änderungen in Klausel 8.1 in ISO 27001:2022 darauf ausgerichtet, sie umfassender zu gestalten und Organisationen mehr Anleitung zur Implementierung einer effektiven operativen Planung und Steuerung zu geben.
Hier ist eine Tabelle, die die wesentlichen Unterschiede zwischen Klausel 8.1 in ISO 27001:2013 und ISO 27001:2022 zusammenfasst:
Anforderung |
ISO 27001:2013 |
ISO 27001:2022 |
Klauselname |
Operative Kontrolle |
Operative Planung und Steuerung |
Anforderungen zur Festlegung von Kriterien für Prozesse |
Nein |
Ja |
Anforderungen zur Umsetzung von Kontrollen der Prozesse gemäß den Kriterien |
Nein |
Ja |
Anforderungen an dokumentierte Informationen |
Nein |
Ja |
Tip: Sie möchten sich nach der neuen Version der ISO 27001 zertifizieren lassen oder Ihre bestehende Zertifizierung auf die neue umstellen? In unserem Leitfaden zum Übergang zur ISO 27001:2022 erfahren Sie, auf was Sie dabei achten sollten.
Schlussfolgerung
Klausel 8.1 der ISO 27001 ist eine wichtige Anforderung für Organisationen, die ein effektives ISMS implementieren möchten. Indem sie die Anforderungen dieser Klausel befolgen, können Organisationen die Wahrscheinlichkeit und Auswirkungen von Sicherheitsvorfällen reduzieren und ihre Informationswerte schützen.