ISO/IEC 27006-1:2024 enthält die formalen Anforderungen an Zertifizierungsstellen, die bei der Auditierung eines Informationssicherheitsmanagementsystems (ISMS) umgesetzt werden müssen. Sie reguliert also Prüfstellen, die Unternehmen nach ISO 27001 auditieren und zertifizieren. Dies bedeutet, dass Änderungen an der ISO 27006 auch zu Auswirkungen auf ISMS-Audits nach ISO 27001 führen.
Im Dezember 2024 wurde die ISO/IEC 27006 neu aufgelegt. Welche Änderungen der Version 2024 sollten Sie kennen? Und welche Folgen haben diese für Unternehmen, die ISMS-Audits nach ISO 27001 durchlaufen? Wir haben Maximilian Müller, Managing Security Consultant der usd AG, gefragt. Er begleitet seit Jahren Unternehmen bei ISMS-Audits und hat für uns einen Blick in die neue Version geworfen:
ISO/IEC 27006:1-2024 – Was ändert sich für ISMS-Audits?
Mit dem Update der ISO-Norm gehen bedeutende Änderungen einher, welche die Aufwandsberechnung und Durchführung von ISMS-Audits nach ISO 27001 betreffen. Vier Themenbereiche sind in Hinblick auf ihre Auswirkungen besonders hervorzuheben:
Anzahl der Mitarbeitenden: Wer fließt in die Zeitaufwandsberechnung ein?
Die Änderung mit den größten Auswirkungen auf die Planung eines ISMS-Audits findet sich bei der Definition der Personen, die für das zu zertifizierende Unternehmen tätig sind: Diese wurde um die Formulierung „unabhängig davon, ob sie Mitglied der Organisation sind oder nicht“ erweitert. Beschäftigt ein Unternehmen also zum Beispiel Freelancer, so muss die Anzahl dieser in die Zeitaufwandsberechnung des ISMS-Audits mit einfließen, sofern diese sich im Scope des ISMS befinden. Die genaue Anzahl der für das ISMS relevanten Berufstätigen wird somit ein unabdingbarer Teil der initialen Berechnung des Zeitaufwands für Ihr Audit.
Standorte in der Aufwandsberechnung: Einfachere Aufwandsberechnung und on-site Verteilung?
Für Unternehmen mit mehreren Standorten wird der Zeitaufwand eines ISO 27001-Audits in Zukunft anhand der Gesamtzahl aller Personen, die für das Unternehmen tätig sind, errechnet. Die Anzahl der Standorte eines Unternehmens ist künftig nicht mehr relevant für die Zeitaufwandsberechnung. Die berechneten Audittage sind anhand der Relevanz des jeweiligen Standorts für das ISMS, den Aktivitäten vor Ort und der möglichen Risiken entsprechend zu verteilen.
„Die Verlagerung des Fokus bei der Aufwandsberechnung – weg von den Standorten und hin zu den Mitarbeitenden – ist deutlich sinnvoller, da sie eine realistischere und unternehmensspezifischere Einschätzung ermöglicht.“
Maximilian Müller
Remote-Audits: Lockerungen für die Auditplanung?
Die Beschränkung des Anteils von Remote-Audits im Zertifizierungsprozess wurde grundlegend überarbeitet. Nun ist keine gesonderte Vorabgenehmigung des Auditplans mehr nötig, sollte der Anteil an Remote-Audit-Aktivitäten bei mehr als 30 Prozent liegen. Im Rahmen des Erstzertifizierungsaudits umfassen die Auditaktivitäten sowohl Stage I als auch Stage II.
„Der Wegfall der zeitlichen Begrenzung für den Remote-Anteil in Audits wird für viele Unternehmen eine spürbare Entlastung bei der Planung mit sich bringen. Die bisherige 30-Prozent-Grenze war häufig schnell erreicht, wodurch sich Reisezeiten und -kosten kaum vermeiden ließen. Künftig kann der Remote-Anteil flexibler gestaltet werden, was nicht nur Zeit spart, sondern auch den organisatorischen Aufwand reduziert.“
Maximilian Müller
Scope-Erweiterungen: Eine Neuerung der ISO 27006
Neu hinzugekommen ist eine Vorgabe zur Berechnung des Zeitaufwands im Falle von Scope-Erweiterungen. Die ISO-Norm gibt dabei genau vor, anhand welcher Kriterien sich die Auditzeit künftig berechnet. Zu diesen gehören unter anderem:
- Aktivitäten der aktuellen Zertifizierung
- Anzahl der Controls, die für die Zertifizierung relevant sind
- Informationsrisiken, die im Zusammenhang mit den neuen Aktivitäten hinzukommen
Exkurs: Die DAkkS
In Deutschland ist die Deutsche Akkreditierungsstelle (DAkkS) verantwortlich für die Akkreditierung von Prüf- und Zertifizierungsstellen. Als zentrale nationale Organisation stellt sie sicher, dass diese Stellen festgelegte Standards einhalten. Dadurch gewährleistet die DAkkS die Qualität und Vertrauenswürdigkeit von Zertifizierungen in verschiedenen Bereichen.
Haben Sie Fragen oder benötigen Sie Unterstützung bei der Durchführung Ihres ISMS-Audits nach ISO 27001? Kontaktieren Sie uns, unsere Expert*innen helfen Ihnen gerne.
