Geänderte Vorgaben an die Zertifizierung gemäß DIN EN ISO/IEC 27001

Für die Zertifizierung von Informationssicherheitsmanagementsystemen gemäß der Norm DIN EN ISO/IEC 27001 gibt es Vorgaben für uns als Zertifizierungsstelle die in der ISO/IEC 27006 beschrieben sind. Diese Norm wurde Anfang des Jahres angepasst. Die Änderungen betreffen in erster Linie uns als Zertifizierungsstelle haben aber auch Auswirkungen auf die zertifizierten Unternehmen.

Die nachfolgend aufgeführten Änderungen sind für die zertifizierten Unternehmen interessant:

  • Auf dem Zertifikat muss zukünftig aufgeführt sein, ob alle Maßnahmen des Anhang 1 (im Englischen: controls) oder ob nicht alle Maßnahmen angewandt werden.
  • Bei Unternehmen mit mehreren Standorten muss zukünftig vor der Auditierung eine risikobasierte Auswahl der zu begutachtenden Standorte erfolgen.
  • Der kalkulierte Gesamtaufwand bei Unternehmen mit mehreren Standorten für die Zentrale und die ausgewählten Standorte darf nicht geringer sein als der kalkulierte Aufwand, wenn alle Tätigkeiten und Mitarbeitende an einem Standort wären.

Stand: 11.11.2020