Zertifizierung nach ISO/IEC 27001:2013. Änderungsbedarf und Handlungsempfehlungen für Unternehmen aufgrund der Norm-Aktualisierung

Inhaltsverzeichnis

Abbildungsverzeichnis ... V

Tabellenverzeichnis ... VI

Abkürzungsverzeichnis ... VII

1 Motivation ... 1

2 Zielsetzung der Masterarbeit ... 2

3 Internationale Normung ... 4
3.1 International Organization for Standardization (ISO) ... 5
3.2 International Electrotechnical Commission (IEC) ... 7
3.3 Die Entstehung einer neuen ISO/IEC-Norm ... 7
3.4 Änderungen an ISO-Dokumenten ... 19
3.5 Zertifizierung ... 21

4 Managementsysteme ... 24
4.1 Integriertes Managementsystem ... 27
4.2 Informationssicherheits-Managementsystem (ISMS) ... 28
4.3 Überblick über die ISO/IEC 27000-Reihe ... 30
4.4 Die ISO/IEC 27001 ... 32
4.5 Entwicklungsschritte der ISO/IEC 27001 ... 34

5 Die ISO/IEC 27001:2013 ... 37
5.1 Gründe für die Aktualisierung ... 37
5.2 Geänderte ISO/IEC Direktiven ... 38

6 Änderungen an der ISO/IEC 27001:2013 gegenüber der ISO/IEC 27001:2005 ... 41
6.1 Feststellung von Änderungen ... 41
6.2 Änderungen in der Anwendung der Norm ... 42
6.3 Änderungen in Kapitel 4 ... 42
6.4 Änderungen in Kapitel 5 ... 45
6.5 Änderungen in Kapitel 6 ... 47
6.6 Änderungen in Kapitel 7 ... 54
6.7 Änderungen in Kapitel 8 ... 57
6.8 Änderungen in Kapitel 9 ... 58
6.9 Änderungen in Kapitel 10 ... 59
6.10 Änderungen an den Dokumentationsanforderungen ... 62
6.11 In der Version ISO/IEC 27001:2013 nicht mehr enthaltene Anforderungen ... 64
6.12 Änderungen am Erscheinungsbild ... 66
6.13 Wesentliche Änderungen im Anhang A ... 67
6.14 Auswirkungen der Änderungen auf die Zertifizierung ... 74
6.15 Auswirkungen der Änderungen auf Zertifizierungsstellen ...

7 Expertenbefragung ... 76
7.1 Entwicklung des Fragenkatalogs ... 76
7.2 Fragenkatalog ... 79
7.3 Pretest ... 79
7.4 Theoretische Grundlagen zur Auswertung ... 80
7.5 Ergebnisse der Expertenbefragung ... 81
7.6 Auswertung und wesentliche Erkenntnisse ... 87

8 Handlungsleitfaden für Anpassungen aufgrund der Aktualisierung der ISO/IEC 27001 ... 95
8.1 Wesentliche Aktivitäten zu Kapitel 4 ... 96
8.2 Wesentliche Aktivitäten zu Kapitel 5 ... 98
8.3 Wesentliche Aktivitäten zu Kapitel 6 ... 99
8.4 Wesentliche Aktivitäten zu Kapitel 7 ... 103
8.5 Wesentliche Aktivitäten zu Kapitel 8 ... 105
8.6 Wesentliche Aktivitäten zu Kapitel 9 ... 107
8.7 Wesentliche Aktivitäten zu Kapitel 10 ... 109
8.8 Potenzieller Änderungsbedarf an der Dokumentation ... 111
8.9 Potenzieller Änderungsbedarf aufgrund der Änderungen im Anhang A ... 112
8.10 Einschätzung der Änderungen ... 114
8.11 Voraussetzungen, Vorbereitung, Planung ... 116
8.12 Mögliche Strategien für die Anpassung eines ISMS ... 117
8.13 Möglicher Projektablaufplan zur Anpassung eines ISMS ... 120

9 Zusammenfassung ... 124

Literaturverzeichnis ... 126

Anhang... 129

Über den Autor ... 135

1 Motivation

Immer mehr (kommerzielle) Anwendungen werden über das Internet zur Verfügung gestellt.[1] Für über das Internet erreichbare Anwendungen bzw. Systeme erhöht sich der Kreis potenzieller Angreifer enorm, da aufgrund der Vernetzung von vielen mit dem Internet verbundenen Systemen aus ein Angriff erfolgen kann. Um Risiken zu reduzieren und Schäden zu vermeiden, muss ein angemessenes Niveau an Informationssicherheit vorhanden sein. Ohne ein solches Maß an Informationssicherheit, um diesen Risiken zu begegnen, kann eine Organisation in der heutigen Zeit nicht erfolgreich tätig sein.[2]

Ein gestiegenes Interesse an dem Thema Informationssicherheit lässt sich an der gestiegenen Anzahl von ISO[3] /IEC[4]-27001[5]-zertifizierten Organisationen ablesen. So besaßen im Jahr 2013 22.293 Organisationen ein derartiges Zertifikat.[6] Im Vergleich zum Vorjahr (2012: 19.620) bedeutet das einen Anstieg von 2.673 Zertifikaten bzw. 14 %.[7]

Die „International Organization for Standardization“ (kurz: ISO, dt. „Internationale Organisation für Normung“) als Herausgeber der Norm ISO/IEC 27001 aktualisiert ihre Normen in regelmäßigen Abständen (Abschnitt 3.4 „Änderungen an ISO-Dokumenten“, S. 19 dieser Masterarbeit). [8] Die erste Aktualisierung der ersten Version dieser Norm, der ISO/IEC 27001:2005, wurde im vergangenen Jahr mit der ISO/IEC 27001:2013 veröffentlicht.[9] Aufgrund der großen Anzahl von Organisationen, welche die Anforderungen der ISO/IEC 27001-Norm umsetzen, habe ich mich entschlossen die Aktualisierung dieser Norm in meiner Masterarbeit näher zu untersuchen.

2 Zielsetzung der Masterarbeit

Im Oktober 2013 haben die ISO und die IEC die überarbeitete Version der Norm für Informationssicherheits-Managementsysteme (ISMS), die ISO/IEC 27001:2013, herausgebracht.[10] Organisationen, welche nach der nunmehr alten Norm ISO/IEC 27001:2005 zertifiziert sind oder sich Norm-konform aufgestellt haben, stehen nun geänderten ISMS-Anforderungen gegenüber. Die vorliegende Masterarbeit möchte die wesentlichen Änderungen dieser zweiten Version der Norm gegenüber der ersten Version untersuchen.

Die Aktualisierung der Norm ISO/IEC 27001:2005 führt aufgrund der Änderungen an der Norm zu einem Anpassungsbedarf in Organisationen. Die Masterarbeit soll Unterstützung für den notwendigen Veränderungsprozess bieten. Hierzu werden nach einer Einführung zunächst die wesentlichen Änderungen zwischen den beiden Versionen (ISO/IEC 27001:2005 und ISO/IEC 27001:2013) aufgezeigt. Dabei soll die Frage beantwortet werden, was am bestehenden ISMS geändert bzw. ergänzt werden muss und welche Inhalte obsolet geworden sind.

Darüber hinaus beinhaltet die Masterarbeit Vorschläge, wie mit den geänderten Anforderungen umgegangen werden sollte und bietet Handlungsempfehlungen an, wie die notwendigen Änderungen vorgenommen werden können. Dabei wird beschrieben, welche Annahmen getroffen wurden, welche Voraussetzungen gegeben sein müssen und welche Schritte zum gewünschten Ergebnis führen.

Eine weitere wichtige Fragestellung, die im Rahmen dieser Masterarbeit beantwortet wird, ist, welcher Aufwand aufgrund dieser Veränderungen für Organisationen in etwa resultiert. Die geschätzten Aufwendungen stellen aufgrund der Heterogenität von Organisationen und dem implementierten ISMS nur Richtwerte dar.

Um Erfahrungen aus der Praxis und die Einschätzungen von Experten hinsichtlich dieser neuen Norm in die Masterarbeit einfließen zu lassen, wird eine Expertenbefragung durchgeführt. Dabei werden insbesondere folgende Fragestellungen beantwortet:

- Gibt es Handlungsbedarf für ISO/IEC 27001:2005-zertifizierte Organisationen?
- Welcher geschätzte Aufwand resultiert daraus?
- Sind unterschiedlich große Organisationen unterschiedlich stark von den Veränderungen der Norm betroffen?
- Wie dringend müssen die notwendigen Veränderungen angegangen werden?
- Wie gehen die Organisationen derzeit mit der neuen ISO/IEC 27001:2013 um (z. B. abwartend, aktiv)?
- Welche wesentlichen Auswirkungen sind bei integrierten Managementsystemen (kurz: IMS) zu erwarten?
- Welche Auswirkung hat die Überarbeitung der Norm auf interessierte Organisationen bzw. wie werden diese Organisation die Neufassung beurteilen (positiv, neutral, negativ)?

Diese Expertenbefragung kann Organisationen als nützliche Hilfe bei der eigenen Meinungs- und Entscheidungsfindung sowie bei der Festlegung der organisationsspezifischen Vorgehensweise dienen.

Den größten Mehrwert dieser Masterarbeit bietet für Organisationen der entwickelte Handlungsleitfaden. Darin wird für Organisationen ein grober Leitfaden mit Empfehlungen aufgezeigt, welche Handlungsfelder wie und in welcher Reihenfolge bearbeitet werden sollten sowie was dabei zu beachten ist und mit welchen Aufwendungen jeweils ungefähr zu rechnen ist. Dieser Handlungsleitfaden unterstützt Organisationen bei der Umsetzung der geänderten Anforderungen und folglich bei der Vorbereitung auf eine erfolgreiche Zertifizierung nach ISO/IEC 27001:2013.

3 Internationale Normung

Die internationale Normung gewinnt aufgrund der zunehmenden Verflechtung internationaler Wirtschaftsräume immer mehr an Bedeutung. [11] Organisationen, die am Handel mit Waren und Dienstleistungen teilnehmen, müssen sich z. B. auf die Beschaffenheit dieser Erzeugnisse verlassen können und benötigen definierte Fachbegriffe, um möglichst eindeutig zu kommunizieren. Dies sind nur zwei Beispiele, warum Normung sinnvoll ist. Aufgrund der internationalen Vernetzung, ist es sinnvoll auch die Normung international vorzunehmen und zu gestalten. Um die vorhandenen Normen möglichst einheitlich zu harmonisieren und neue Normen in internationalem Konsens zu erstellen [12], wurden verschiedene, internationale Normungsorganisationen aufgebaut, wie zum Beispiel:

- ISO
- IEC
- CEN (Comité Européen de Normalisation, dt. „Europäisches Komitee für Normung“)[13]

Nach der Definition der EU-Kommission in Art. 1 Nr. 3, 98/34/EG[14] ist eine „technische Spezifikation“ eine „Spezifikation, die in einem Schriftstück enthalten ist, das Merkmale für ein Erzeugnis vorschreibt, wie Qualitätsstufen, Gebrauchstauglichkeit, Sicherheit oder Abmessungen, einschließlich der Vorschriften über Verkaufsbezeichnung, Terminologie, Symbole, Prüfungen und Prüfverfahren, Verpackung, Kennzeichnung und Beschriftung des Erzeugnisses sowie über Konformitätsbewertungsverfahren.“[15]

Nach der Definition der EU-Kommission in Art. 1 Nr. 6, 98/34/EG ist eine Norm eine technische Spezifikation, die folgende Anforderungen erfüllt [16]:

1. Von einem anerkannten Normungsgremium angenommen
2. Für die wiederholte oder ständige Anwendung bestimmt
3. Einhaltung ist freiwillig
4. Der Öffentlichkeit zugänglich

Die ISO/IEC 27001 erfüllt diese Anforderung, da sie von einem anerkannten Normungsgremium, nämlich der ISO/IEC, nicht nur angenommen, sondern herausgegeben wird.[17] Darüber hinaus ist sie für die wiederholte bzw. ständige Anwendung in Organisationen bestimmt.[18] Schließlich ist die Einhaltung der ISO/IEC 27001 nicht zwingend vorgeschrieben[19] und sie ist öffentlich zugänglich (z. B. Beuth Verlag [20]).

Nach Niedziella ist Normung „die planmäßige, durch die betroffenen Fachkreise gemeinschaftlich durchgeführte Vereinheitlichung von materiellen und immateriellen Gegenständen zum Nutzen der Allgemeinheit.“[21]

Auch diese Definition erfüllt die ISO/IEC 27001. Sie wurde durch das Anwenden der ISO/IEC Direktiven zur Erstellung einer Norm (Abschnitt 3.3 „Die Entstehung einer neuen ISO/IEC-Norm“, S. 7 dieser Masterarbeit) von Experten erstellt.[22] Sie stellt außerdem eine Standardisierung eines immateriellen Gegenstandes, nämlich eines ISMS, dar. Ziel der ISO/IEC-Normenarbeit ist, dass die Allgemeinheit davon profitiert.[23]

In diesem Zusammenhang muss beachtet werden, dass im internationalen Kontext das Wort „Standard“ (engl. „standard“) als Synonym für „Norm“ verwendet wird (z. B. „International Standard ISO/IEC 27001“[24]). In dieser Masterarbeit wird hierfür der deutsche Begriff „Norm“ genutzt.

3.1 International Organization for Standardization (ISO)

Die „International Organization for Standardization“ ist ein Zusammenschluss von 164 nationalen Normungsorganisationen (z. B. für Deutschland das „Deutsche Institut für Normung“, kurz: DIN) mit Sitz in Genf (Schweiz)[25]. Die international einheitliche Kurzbezeichnung ist „ISO“[26]. Die ISO wurde am 23. Februar 1947 gegründet [27] und hat momentan 138 Vollzeitbeschäftigte[28]. Mit Hilfe der nationalen Normungsorganisationen bzw. deren Delegationen (Wirtschaftsvertreter, Verbände etc.) werden internationale Normen erarbeitet und durch die ISO veröffentlicht.[29] Gegenwärtig bestehen über 18.600 ISO-Normen. [30]

Die ISO unterhält eine strategische Partnerschaft mit der World Trade Organization (kurz: WTO, dt. „Welthandelsorganisation“) zur Förderung eines freien und fairen globalen Handelssystems.[31] Darüber hinaus arbeitet sie mit den United Nations (kurz: UN, dt. „Vereinte Nationen“) zusammen.[32] Insgesamt unterhält die ISO Vereinbarungen mit über 700 internationalen und regionalen Organisationen.[33]

Die ISO ist zuständig für alle internationalen Normen mit Ausnahme von Elektrik und Elektronik sowie Telekommunikation. [34] Für Normen der Elektrik und Elektronik ist die Normenorganisation „International Electrotechnical Commission“ (kurz: IEC, dt. „Internationale Elektrotechnische Kommission“), für diejenigen der Telekommunikation die „International Telecommunication Union“ (kurz: ITU, dt. „Internationale Fernmeldeunion“)[35] zuständig. [36] Bei den internationalen Normen werden die beteiligten Organisationen vor der Referenznummer durch Schrägstrich getrennt genannt (z. B. ISO/IEC 27001:2013).[37] Die drei Organisationen ISO, IEC und ITU bilden die „World Standards Coorporation“ (kurz: WSC, dt. „Welt-Normen-Gesellschaft“).[38]

Die internationalen Normen können von den nationalen Normungsorganisationen in nationale Normen übernommen werden. [39] Um dies für den Leser kenntlich zu machen wird die Bezeichnung der nationalen Normungsorganisation vor die internationale(-n) Normungsorganisation(-en) vorangestellt: z. B. DIN ISO/IEC 27001:2005. Für die übersetzten Versionen sind die nationalen Normungsorganisationen verantwortlich.[40]

Die Implementierung von ISO-Normen innerhalb einer Organisation ist grundsätzlich freiwillig.[41] Jedoch können Gesetze, Verordnungen o. Ä. die Umsetzung von Normen und sogar den Nachweis dessen durch ein gültiges Zertifikat fordern (z. B. Energiewirtschaftsgesetz i.V.m. IT[42]-Sicherheitskatalog, EU-Zahlstellenverordnung). Zertifizierungen werden nicht durch die ISO, sondern durch bei nationalen Akkreditierungsstellen (in Deutschland: Deutsche Akkreditierungsstelle, kurz: DAkkS) akkreditierte Konformitätsbewertungsstellen durchgeführt (Abschnitt 3.5 „Zertifizierung“, S. 21 dieser Masterarbeit).

3.2 International Electrotechnical Commission (IEC)

Die „International Electrotechnical Commission“ (kurz: IEC, dt. „Internationale Elektrotechnische Kommission“) ist die für Normungsaktivitäten auf dem Gebiet der Elektrotechnik und Elektronik zuständige[43], internationale Organisation mit Sitz in Genf [44]. Die IEC wurde im Jahr 1906 gegründet[45] und hat derzeit 60 Vollmitglieder[46].

Bei den Ergebnissen der Normungsaktivitäten handelt es sich um unverbindliche Empfehlungen[47]: Publikationen, Technische Spezifikationen, Technische Berichte und „Public Available Specification“ (kurz: PAS, dt. „öffentlich verfügbare Spezifikation“). [48] Diese müssen von den IEC-Mitgliedsstaaten nicht in das jeweilige nationale Normenwerk übernommen werden.[49] Die IEC-Veröffentlichungen werden in der Nummernreihe 60000, z. B. IEC 60127-2 Geräteschutzsicherungen, publiziert.[50]

3.3 Die Entstehung einer neuen ISO/IEC-Norm

Die ISO und die IEC haben gemeinsame ISO/IEC Direktiven mit Regeln zur Normungsarbeit vereinbart[51], welche aus zwei Teilen bestehen[52]:

1. ISO/IEC Direktive, Teil 1: Verfahren für technische Arbeiten (engl.: „procedures for the technical work“)
2. ISO/IEC Direktive, Teil 2: Regeln für die Struktur und das Verfassen von internationalen Normen (engl.: „rules for the structure and drafting of International Standards“)

Die Inhalte dieses Abschnitts sowie der enthaltenen Unterabschnitte sind aus der ISO/IEC Direktive, Teil 1 entnommen und von mir übersetzt worden. Die Referenzierung auf die ISO/IEC Direktive, Teil 1 erfolgt in diesem Abschnitt sowie den darin enthaltenen Unterabschnitten, sofern es sich um Inhalte aus dieser Direktive handelt, auf Absatzebene.

Diese ISO/IEC Direktiven legen die grundlegenden Verfahren für die Erstellung und Pflege von internationalen Normen und anderen Publikationen fest [53], die von der ISO und der IEC beim Ausführen ihrer technischen Arbeiten (z. B. Unterkomitees) zu beachten sind[54]. Damit arbeiten die beiden Normungsorganisationen, ISO und IEC, nach denselben Grundsätzen und Verfahren.[55] Die ISO/IEC Direktiven wurden auch von der „ISO/IEC/JTC 1 Information Technology“ (dt. „ISO/IEC/JTC 1 Informationstechnik“), übernommen.[56]

Die Erstellung und Pflege von ISO-Normen obliegt den sogenannten „Technischen Komitees“ (engl. „technical committees“) bzw. „Unterkomitees“ (engl. „subcommittees“). Die Arbeiten an der Norm ISO/IEC 27001 wurden bzw. werden vom ersten gemeinsamen Technischen Komitee der ISO und IEC, dem „ISO/IEC/JTC 1 Information Technology“, vorgenommen.[57] Dieses hat im Jahr 1987 seine Arbeit aufgenommen. [58]

In der ISO bestehen derzeit 237[59] Technische Komitees. Alle nationalen Normungsorganisationen (z. B. DIN für Deutschland) haben das Recht in den Technischen Komitees bzw. Unterkomitees mitzuwirken. Das heißt, die ISO und die IEC haben aus jedem Land jeweils nur ein Mitglied, welches die gesamten Normungsinteressen des Landes zu vertreten hat.[60] Für Deutschland nimmt die DIN in der ISO sowie in der IEC teil.[61]

Die nationalen Normungsorganisationen haben die Wahl als P-Mitglied, als O-Mitglied oder gar nicht an der Normierungsarbeit teilzuhaben. P-Mitglieder wirken aktiv an der Normenarbeit mit. Dies beinhaltet die Verpflichtungen, dass innerhalb des Technischen Komitees an allen Wahlen teilgenommen und zu Besprechungen beigetragen werden muss. Die O-Mitglieder verfolgen die Normenarbeit als Beobachter. Sie erhalten die Dokumente aus den Komitees, dürfen Kommentare abgeben und an den Besprechungen teilnehmen. Unabhängig von ihrem Status innerhalb von Komitees, haben die nationalen Normungsorganisationen das Recht über Vorschläge und finale Entwürfe von internationalen Normen abzustimmen.[62] Die nationalen Normungsorganisationen können zu jeder Zeit den Status ihrer Mitgliedschaft hinsichtlich aller Technischen Komitees bzw. Unterkomitees ändern. Hierzu sind das Sekretariat des betreffenden Komitees sowie das Sekretariat des Vorstandsvorsitzenden zu informieren. [63]

Die Technischen Komitees werden durch den „Technischen Vorstand“ (engl. „technical management board“, kurz: TMB) gegründet und aufgelöst. [64] Dieser Technische Vorstand ist gesamtverantwortlich für die technische Arbeit (z. B. Aufbau von Technischen Komitees, Freigabe von Programmen von Technischen Komitees) und berichtet an den „ISO Council“ (dt. „ISO Vorstand“). [65] Den Vorschlag zum Tätigwerden in einem neuen Bereich, der die Etablierung eines neuen Technischen Komitees erforderlich macht, kann beispielweise von einer nationalen Normungsorganisation, dem TMB oder dem „Chief Executive Officer“ (kurz: CEO, dt. „Vorstandsvorsitzender“) kommen.[66]

Zunächst ist von den Technischen Komitees (engl. „technical committee“) ein strategischer Businessplan für ihren Aufgabenbereich anzufertigen. Bei dessen Erstellung sollen beispielsweise das Geschäftsumfeld, die Expansionsbereiche, Revisionsbedarfe und Aussagen über die zukünftige Entwicklung in diesem Bereich berücksichtigt werden. Dieser Businessplan muss formal vom jeweiligen Technischen Komitee bestätigt werden, bevor er als Bestandteil des regelmäßigen Berichts zur Überprüfung und Freigabe an den Technischen Vorstand übermittelt wird.[67]

Bei der Erstellung ihres jeweiligen Programms müssen die Technischen Komitees bzw. die Unterkomitees sektorenspezifische Anforderungen ebenso berücksichtigen wie Anforderungen von Quellen, die außerhalb dieses Technischen Komitees liegen (z. B. Organisationen, außerhalb von ISO und IEC). [68]

Die Erstellung einer ISO-Norm wird in Form eines Projekts geplant und durchgeführt. Bereits in der Planungsphase muss das Technische Komitee bzw. das Unterkomitee Fertigstellungsdaten für die einzelnen Projektschritte von der Erstellung bis zur Veröffentlichung angeben. Diese Planungsdaten müssen sich an der kürzest möglichen Entwicklungszeit orientieren.[69] Für die Dauer der Erstellung einer Norm sind standardmäßig 36 Monate bis zur Veröffentlichung vorgesehen. Neben diesem Standardprozess gibt es noch jeweils einen beschleunigten (24 Monate) und einen verlängerten (48 Monate) Prozess.[70]

Die nachfolgende Tabelle gibt einen Überblick über die einzelnen Projektschritte sowie die jeweils korrespondierenden Dokumentnamen und englischen Abkürzungen.

[Dies ist eine Leseprobe. Grafiken und Tabellen sind nicht enthalten.]
Tabelle 1: Projektschritte und zugehörige Dokumente eines Projekts zur Erstellung einer ISO-Norm
Quelle: ISO/IEC, 2014: ISO/IEC Direktiven, Teil 1. Genf, S. 20 (eigene Übersetzung)

Die nachfolgende Tabelle zeigt die einzelnen Phasen bis zur Veröffentlichung einer ISO-Norm auf. Für ein derartiges Projekt sehen die ISO/IEC Direktiven drei unterschiedliche Prozesse vor: Standardprozess, „Entwurf mit Vorschlag übermittelt“ und „Fast-track“-Prozess.

[Dies ist eine Leseprobe. Grafiken und Tabellen sind nicht enthalten.]
Tabelle 2: Vereinfachte Darstellung der Projektschritte zur Erstellung einer ISO-Norm
Quelle: ISO/IEC, 2014: ISO/IEC Direktiven, Teil 1. Genf, S. 63 (eigene Übersetzung, angepasste Darstellung)

3.3.1 Vorstadium

Im Projektschritt „Vorstadium“ werden für die vermeintlich zu bearbeitenden Themen sogenannte „preliminary work items“-Dokumente (kurz: PWI, dt. „vorläufiger Arbeitsauftrag“) erstellt. Für alle im Businessplan enthaltenen Themen sollte ein derartiges Dokument erstellt werden. Daneben werden für solche Themen PWIs verfasst, die nach derzeitigem Stand noch nicht die Reife für den nächsten Projektschritt besitzen und/oder für die noch kein Fertigstellungsdatum genannt werden kann. Diese Phase kann für die Ausarbeitung eines PWI oder eines initialen Entwurfs genutzt werden. Bevor dieser Projektschritt abgeschlossen und in den nächsten überführt werden kann, müssen die PWIs, Entwürfe etc. durch einfache Mehrheit der P-Mitglieder freigeben werden. Der dabei anzuwendende Freigabeprozess ist der gleiche, wie im folgenden Projektschritt „Vorschlag“. [71]

3.3.2 Vorschlagsphase

Im Projektschritt „Vorschlag“ wird das Dokument „new work item proposal“ (dt. „neuer Vorschlag eines Arbeitsauftrages“) erstellt. Es enthält den Vorschlag zur Erstellung einer neuen Norm, eines neuen Teils einer Norm, einer technischen Spezifikation (engl. „Technical Specification“) oder einer öffentlich verfügbaren Spezifikation. Ein neuer Vorschlag eines Arbeitsauftrages innerhalb eines bestehenden Komitees kann von folgenden Entitäten gemacht werden:

- nationalen Normungsorganisationen
- Sekretariat des Komitees
- anderen Komitees
- verbundenen Organisationen
- TMB oder einer ihrer Beratungsgruppen
- Vorstandsvorsitzender[72]

Der Vorschlagende sollte alle Anstrengungen unternehmen, um einen „ersten Arbeitsentwurf“ (engl. „first working draft“) zur Diskussion stellen zu können. Mindestens aber muss der Vorschlag textuell grob skizziert und ein Projektleiter (engl. „project leader“) nominiert werden. Der Vorschlag muss an das Sekretariat des Vorstandsvorsitzenden oder an das Sekretariat des zuständigen Komitees übermittelt werden. Sie können diesem ersten Arbeitsentwurf Kommentare und/oder Empfehlungen hinzufügen. Anschließend muss dieser erste Arbeitsentwurf an die Mitglieder des Komitees übermittelt werden. Die Abstimmung sollte innerhalb von drei Monaten abgeschlossen sein. Die nationalen Normungsorganisationen müssen ihrer Wahl (Zustimmung oder Ablehnung) eine Begründung (engl. „justification statement“) hinzufügen. Andernfalls wird ihre Wahl nicht berücksichtigt. [73]

Erhält der Vorschlag des ersten Arbeitsentwurfs eine einfache Mehrheit der P-Mitglieder des betreffenden Komitees, gilt er als angenommen. Darüber hinaus muss ein Minimum von P-Mitgliedern zusichern, das Projekt aktiv zu unterstützen:

- Komitees mit 16 oder weniger P-Mitgliedern: Mindestens vier P-Mitglieder
- Komitees mit 17 oder mehr P-Mitgliedern: Mindestens fünf P-Mitglieder[74]

Dabei werden nur diejenigen P-Mitglieder gezählt, welche dem Vorschlag zugestimmt haben.

Wesentlich für die aktive Unterstützung sind das Nominieren von technischen Experten und das Kommentieren von Arbeitsentwürfen in der nachfolgenden Erstellungsphase (engl. „preparatory stage“).[75]

3.3.3 Erstellungsphase

Der Ergebnistyp der Erstellungsphase ist ein Arbeitsentwurf. Er wird vom Projektleiter gemeinsam mit den nominierten Experten erarbeitet. Die P-Mitglieder, welche die aktive Mitarbeit zugesichert haben, müssen ihre nominierten Experten bestätigen. Darüber hinaus können von verbundenen Organisationen (A- oder D-Liaison) und weiteren P-Mitgliedern Experten nominiert werden.[76]

Um Verzögerungen im weiteren Projektverlauf zu vermeiden, müssen alle Anstrengungen unternommen werden, um eine englische und französische Version des Arbeitsentwurftextes zu erstellen. Falls eine dreisprachige (deutsch, englisch, russisch) Norm vorbereitet wird, ist dieser Entwurfstext zudem in russischer Sprache anzufertigen.[77]

Die Erstellungsphase ist abgeschlossen, sobald ein Arbeitsentwurf als erster Komitee-Entwurf für die Verteilung an die Mitglieder des Komitees vorhanden ist. Darüber hinaus muss dieser Entwurf beim Sekretariat des Vorstandsvorsitzenden registriert sein. Um Markterfordernissen zu genügen, kann das Komitee entscheiden, den finalen Arbeitsentwurf als öffentlich verfügbare Spezifikation zu veröffentlichen.[78]

3.3.4 Komiteephase

In der Komiteephase werden insbesondere die Kommentare der nationalen Normungsorganisationen berücksichtigt, um Konsens hinsichtlich der technischen Inhalte zu erzielen. Komitees können entscheiden die Komiteephase zu überspringen, wie in Tabelle 2 „Vereinfachte Darstellung der Projektschritte zur Erstellung einer ISO-Norm“ auf Seite 11 dieser Masterarbeit im „Fast-track“-Prozess dargestellt.[79]

Sobald ein Komitee-Entwurf vorhanden ist, muss er an alle P- und O-Mitglieder des Komitees verteilt werden. Dabei ist ein eindeutiges Datum anzugeben bis zu dem Antworten übermittelt sein müssen. Den nationalen Normungsorganisationen muss eine im zuständigen Komitee abgestimmte Dauer von zwei, drei oder vier Monaten zur Beantwortung eingeräumt werden. Standardmäßig werden zwei Monate für die Kommentierung eines Komitee-Entwurfs angesetzt. [80]

Spätestens vier Wochen nach dem Ende der Kommentierungsphase des Komitee-Entwurfs muss das Sekretariat eine Zusammenstellung der Kommentare vorbereiten und die Verteilung an alle P- und O-Mitglieder des Komitees arrangieren. Dabei muss das Sekretariat einen Vorschlag unterbreiten, wie weiter vorgegangen werden soll. Dieser Vorschlag wird in Abstimmung mit dem Vorsitzenden des Technischen Komitees bzw. Unterkomitees und, falls notwendig, dem Projektleiter erarbeitet. Der Vorschlag kann folgende Alternativen enthalten:

1. Diskussion des Komitee-Entwurfs und der Kommentare in der nächsten Besprechung
2. Verteilung eines überarbeiteten Komitee-Entwurfs zur Prüfung
3. Den Komitee-Entwurf für die Prüfungsphase vorsehen[81]

Für die Alternativen zwei und drei muss das Sekretariat in der Zusammenstellung der Kommentare kenntlich machen, wie mit den jeweils empfangenen Kommentaren umgegangen worden ist. Anschließend ist sie den P-Mitgliedern zuzuleiten.[82]

Falls innerhalb von zwei Monaten nach dem Versand der Zusammenstellung zwei oder mehr P-Mitglieder den Vorschlag des Sekretariats ablehnen, muss der Entwurf in einer Besprechung diskutiert werden.[83] Sollte auch in dieser Besprechung keine Einigung erzielt werden, ist ein weiterer Entwurf anzufertigen. Darin sind alle in der Besprechung erzielten Beschlüsse zu dokumentieren und der Entwurf innerhalb von drei Monaten zu verteilen. Den nationalen Normungsorganisationen muss eine im zuständigen Komitee abgestimmte Dauer von zwei, drei oder vier Monaten zur Beantwortung dieses sowie jeweils für alle weiteren Entwürfe eingeräumt werden.

Die Erstellung und Prüfung von weiteren Entwürfen muss solange fortgesetzt werden, bis die P-Mitglieder einem Entwurf zustimmen oder die Entscheidung getroffen wurde, das Projekt abzubrechen oder zurückzustellen.[84]

Nachhaltig geäußerte Ablehnungen haben das Recht gehört zu werden. Beim Vorliegen einer derartigen Opposition muss die Leitung zunächst untersuchen, ob es sich um eine nachhaltige Ablehnung handelt. Dies setzt voraus, dass die Ablehnung von einem wichtigen Teil der Vertreter betroffener Interessen geäußert wird. Ist da nicht der Fall, wird die Leitung die Ablehnung dokumentieren und damit fortfahren die Arbeit an dem Dokument zu leiten. Liegt hingegen eine nachhaltige Ablehnung vor, ist die Leitung aufgefordert die Lösung gutgläubig anzugehen. Nichtsdestotrotz ist eine nachhaltige Ablehnung nicht gleichbedeutend mit einem Vetorecht. Die Vorgabe die nachhaltige Ablehnung aufzugreifen bedeutet nicht, sie lösen zu müssen. Die Verantwortung zur Untersuchung, ob Konsens besteht, liegt allein bei der Leitung. Vertreter, welche die nachhaltige Ablehnung hervorgebracht haben, können Beschwerde gemäß den ISO/IEC Direktiven einlegen.[85]

Beim Vorliegen von Zweifeln, ob Konsens vorliegt, kann innerhalb der ISO bzw. des „Joint Technical Committee 1“ (kurz: JTC 1, dt. „gemeinsames technisches Komitee“) eine Wahl abgehalten werden. Das Vorliegen einer Zweidrittelmehrheit der P-Mitglieder des Komitees kann als ausreichend angesehen werden, um den Komitee-Entwurf als Prüfungsentwurf anzumelden. Nichtsdestotrotz müssen alle Anstrengungen unternommen werden, die negativen Stimmabgaben beizulegen. [86]

Wurde Konsens innerhalb eines Komitees erreicht, muss das entsprechende Sekretariat die finalisierte Version in elektronischer Form innerhalb von vier Monaten an die nationalen Normungsorganisationen und an das Büro des Vorstandsvorsitzenden senden. Im Falle eines Unterkomitees ist es zudem an das Sekretariat des Technischen Komitees zu übermitteln. Darüber hinaus muss das Sekretariat den vorgeschlagenen Entwurf einer internationalen Norm (engl. „draft International Standard“, kurz: DIS) in elektronischer Form zusammen mit dem Erläuterungsreport, der Zusammenstellung der Kommentare und der aufgrund von Kommentaren vorgenommenen Aktivitäten an das zentrale ISO Sekretariat übermitteln.[87]

Die Komiteephase endet, wenn alle technischen Fragen geklärt, ein Komitee-Entwurf zur Verteilung als Prüfungsentwurf freigegeben und dieser vom Büro des Vorstandsvorsitzenden registriert wurde. Sollten nicht alle technischen Fragen innerhalb der vorgegebenen Zeiten gelöst werden, können Komitees in Betracht ziehen, ein Zwischenergebnis in Form einer technischen Spezifikation (engl. „Technical Specification“) zu veröffentlichen. [88]

3.3.5 Prüfungsphase

In der Prüfungsphase muss das Büro des Vorstandsvorsitzenden den Entwurf einer ISO-Norm (engl. „draft International Standard“, kurz: DIS) an alle nationalen Normungsgremien senden. Diese haben innerhalb von drei Monaten zu wählen. Am Ende der Wahlperiode muss der Vorstandsvorsitzende die Ergebnisse der Wahl zusammen mit ggf. empfangenen Kommentaren innerhalb von vier Wochen an den Vorsitzenden sowie an das Sekretariat des betreffenden Komitees senden. Die Wahlaussagen der nationalen Normungsgremien müssen eindeutig sein, d. h. zustimmend, ablehnend oder enthaltend. Eine zustimmende Wahlstimme kann einen redaktionellen oder technischen Kommentar enthalten. Falls ein nationales Normungsgremium einen Entwurf einer ISO-Norm für nicht akzeptabel befindet, soll es ablehnend wählen und die technischen Gründe hierfür nennen. Eine Zustimmung unter Bedingungen (z. B. Änderung einer technischen Spezifikation) ist nicht möglich.[89]

[...]

---

[1] Fuhrberg, K., 2001: Internet-Sicherheit. München, S. 1

[2] Humphreys, E., 2002: Guidelines on Requirements and Preparation for ISMS Certification based on ISO/IEC 27001. London, S. 7

[3] International Organization for Standardization, kurz: ISO, dt. „Internationale Organisation für Normung“

[4] International Electrotechnical Commission, kurz: IEC, dt. „Internationale Elektrotechnische Kommission“

[5] ISO/IEC, 2013: ISO/IEC 27001: Information technology - Security techniques - Information security management systems – Requirements (dt. “Informationstechnik - IT-Sicherheitsverfahren - Informationssicherheits-Managementsysteme – Anforderungen”)

[6] ISO, 2013: The ISO Survey of Management System Standard Certifications – 2013. http://www.iso.org/iso/iso_survey_executive-summary.pdf?v2013. Genf, S. 1. Zugegriffen am: 27.12.2014

[7] ebenda, S. 1

[8] ISO/IEC, 2014: ISO/IEC Direktiven, Teil 1. Genf, S. 33

[9] ISO/IEC, 2013: ISO/IEC 27001:2013. Genf, S. 21

[10] ISO/IEC, 2013: ISO/IEC 27001:2013. Genf, S. i

[11] Niedziella, W., 2007: Wie funktioniert Normung?. Berlin, S. 37

[12] ISO Grundprinzipien: http://www.iso.org/iso/home/standards_development.htm. Zugegriffen am: 23.11.2014

[13] Niedziella, W., 2007: Wie funktioniert Normung?. Berlin, S. 37

[14] EG: Europäische Gemeinschaft

[15] Europäische Kommission, 2005: Richtlinie 98/34/EG: Ein Instrument für die Zusammenarbeit zwischen Institutionen und Unternehmen zur Gewährleistung eines reibungslosen Funktionierens des Binnenmarktes; Leitfaden zum Informationsverfahren auf dem Gebiet der Normen und technischen Vorschriften und der Vorschriften für die Dienste der Informationsgesellschaft. http://ec.europa.eu/enterprise/policies/single-market-goods/files/brochure-guide-procedure/2003_2121_de.pdf . Luxemburg, S. 18. Zugegriffen am: 12.12.2014

[16] ebenda, S. 22

[17] ISO/IEC, 2013: ISO/IEC 27001:2013. Genf, S. ii

[18] ebenda, S. v, 1

[19] ISO, 2011: ISO in brief. http://www.iso.org/iso/isoinbrief_2011.pdf. Genf, S. 1. Zugegriffen am 12.12.2014

[20] www.beuth.de

[21] Niedziella, W., 2007: Wie funktioniert Normung?. Berlin, S. 16

[22] ISO/IEC, 2013: ISO/IEC 27001:2013. Genf, S. iv

[23] ISO, 2014: Economic benefits of standards (dt. “Ökonomische Vorteile von Normen”). http://www.iso.org/iso/ebs_case_studies_factsheets.pdf. Genf, S. 3. Zugegriffen am: 16.11.2014

[24] ISO/IEC, 2013: ISO/IEC 27001:2013. Genf, S. i (Deckblatt)

[25] ISO, 2013: ISO in figures 2013. http://www.iso.org/iso/iso_in_figures-2013.pdf. Genf, S. 1. Zugegriffen am 29.12.2014

[26] ISO ist abgeleitet vom griechischen Wort „isos“ (dt. „gleich“)

[27] Internationale Organisation für Normung: http://de.wikipedia.org/wiki/Internationale_Organisation_f%C3%BCr_Normung . Zugegriffen am: 21.08.2014

[28] ISO, 2013: ISO in figures 2013. http://www.iso.org/iso/iso_in_figures-2013.pdf. Genf, S. 1. Zugegriffen am 29.12.2014

[29] ISO, 2011: ISO in brief. http://www.iso.org/iso/isoinbrief_2011.pdf. Genf, S. 2. Zugegriffen am 12.12.2014

[30] ebenda, S. 3

[31] ebenda, S. 3

[32] ebenda, S. 3

[33] ebenda, S. 3

[34] Niedziella, W., 2007: Wie funktioniert Normung?. Berlin, S. 55

[35] ISO/IEC Information Centre: http://www.standardsinfo.net/info/aboutstd.html. Zugegriffen am: 23.11.2014

[36] Niedziella, W., 2007: Wie funktioniert Normung?. Berlin, S. 11

[37] Calder A., Watkins S., 2012: IT Governance. London, S. 37

[38] Wikipedia, Internationale Organisation für Normung, http://de.wikipedia.org/wiki/Internationale_Organisation_f%C3%BCr_Normung . Zugegriffen am: 21.08.2014

[39] ISO, 2011: ISO in brief. http://www.iso.org/iso/isoinbrief_2011.pdf. Genf, S. 4. Zugegriffen am 12.12.2014

[40] Niedziella, W., 2007: Wie funktioniert Normung?. Berlin, S. 39

[41] ISO, 2011: ISO in brief. http://www.iso.org/iso/isoinbrief_2011.pdf. Genf, S. 4. Zugegriffen am 12.12.2014

[42] IT: Informationstechnologie

[43] Niedziella, W., 2007: Wie funktioniert Normung?. Berlin, S. 55

[44] ebenda, S. 53

[45] ebenda, S. 53

[46] IEC, http://www.iec.ch/dyn/www/f?p=103:5:0. Zugegriffen am: 23.11.2014

[47] Niedziella, W., 2007: Wie funktioniert Normung?. Berlin, S. 55

[48] ebenda, S. 58

[49] ebenda, S. 58

[50] ebenda, S. 58

[51] ebenda, S. 59

[52] ISO/IEC, 2014: ISO/IEC Direktiven, Teil 1. Genf, S. viii

[53] ISO/IEC, 2014: ISO/IEC Direktiven, Teil 1. Genf, S. vii

[54] ebenda, S. viii

[55] Niedziella, W., 2007: Wie funktioniert Normung?. Berlin, S. 59

[56] ISO/IEC, 2014: ISO/IEC Direktiven, Teil 1. Genf, S. vii

[57] Niedziella, W., 2007: Wie funktioniert Normung?. Berlin, S. 59

[58] ebenda, S. 59

[59] ISO, http://www.iso.org/iso/home/standards_development/list_of_iso_technical_committees.htm . Zugegriffen am: 24.08.2014

[60] Niedziella, W., 2007: Wie funktioniert Normung?. Berlin, S. 37

[61] ebenda, S. 37

[62] ISO/IEC, 2014: ISO/IEC Direktiven, Teil 1. Genf, S. 6

[63] ebenda, S. 7

[64] ebenda, S. 3

[65] ebenda, S. 1

[66] ebenda, S. 3

[67] ebenda, S. 19

[68] ebenda, S. 20

[69] ISO/IEC, 2014: ISO/IEC Direktiven, Teil 1. Genf, S. 20

[70] ISO/IEC, 2014: ISO/IEC Direktiven, Teil 1. Genf, S. 22

[71] ISO/IEC, 2014: ISO/IEC Direktiven, Teil 1. Genf, S. 23 und 24

[72] ISO/IEC, 2014: ISO/IEC Direktiven, Teil 1. Genf, S. 24

[73] ebenda, S. 25

[74] ebenda, S. 25

[75] ISO/IEC, 2014: ISO/IEC Direktiven, Teil 1. Genf, S. 25

[76] ebenda, S. 26

[77] ebenda, S. 27

[78] ebenda, S. 27

[79] ebenda, S. 27

[80] ISO/IEC, 2014: ISO/IEC Direktiven, Teil 1. Genf, S. 27

[81] ebenda, S. 25

[82] ebenda, S. 25

[83] ebenda, S. 28

[84] ebenda, S. 28

[85] ISO/IEC, 2014: ISO/IEC Direktiven, Teil 1. Genf, S. 28

[86] ebenda, S. 29

[87] ebenda, S. 29

[88] ebenda, S. 29

[89] ISO/IEC, 2014: ISO/IEC Direktiven, Teil 1. Genf, S. 29