ISO/IEC 27001
ISO/IEC 27001
Information security management systems - Requirements / Informationssicherheitsmanagementsysteme – Anforderungen
© unsplash.com - rawpixel
Information security management systems - Requirements / Informationssicherheitsmanagementsysteme – Anforderungen
© unsplash.com - rawpixel
Titel: | Informationstechnik |
Arbeitsgebiet: | IT-Sicherheitsverfahren |
Name des Standards: | Information security management systems - Requirements Informationssicherheitsmanagementsysteme – Anforderungen |
Inhalt und Anwendungsbereich
ISO/IEC 27001 legt die Anforderungen für die Errichtung, Einführung, Aufrechterhaltung und kontinuierliche Verbesserung eines Informationssicherheits-Managementsystems fest. Da das Dokument sehr generisch gehalten ist, um auf alle Organisationen unabhängig von Typ, Größe und Geschäftsfeld anwendbar zu sein, haben diese Anforderungen einen niedrigen technischen Detaillierungsgrad, wobei die Anforderungen an die Prozesse wohl definiert sind. Aufbauend auf der Norm werden nationale Zertifizierungsschemata definiert.
Methodik
ISO/IEC 27001 berücksichtigt den in den ISO/IEC Direktiven Teil 1 festgeschriebenen Annex SL, der eine einheitliche Struktur und Wortwahl für Managementsysteme, bis hin zu identischen Kapiteln und einheitlichen Begriffsdefinitionen vorgibt. Die Struktur des ISMS ist damit kompatibel zu anderen Managementsystemen, die unter Berücksichtigung des Annex SL standardisiert sind wie z.B. zukünftig das Qualitätsmanagementsystem nach ISO 9000. Ein ISMS erlaubt es, ermittelte Risiken durch geeignete, in die Organisationsprozesse eingebettete Kontrollmechanismen zu reduzieren, zu verlagern oder anders zu kontrollieren. Hierbei sind die Geschäftsziele und die resultierenden Sicherheitsanforderungen als Input sowie “gemanagte” Informationssicherheit als Output anzusehen. Die transformierenden Systemprozesse sind das Aufbauen, das Umsetzen und Betreiben, das Überprüfen sowie das Aufrechterhalten und Verbessern.
Als Managementstandard richtet sich das Dokument an die Geschäftsleitung und den IT-Sicherheitsbeauftragten weniger an die Umsetzungsverantwortlichen, Techniker oder Administratoren.
Zertifizierung
Der Grad der Umsetzung des Informationssicherheits-Managementsystems kann von internen oder externen Parteien (Auditoren) kontrolliert werden. Bisher war es in Deutschland möglich sich mit dem vom BSI herausgegebenen Zertifikat „ISO/IEC 27001 auf Basis IT Grundschutz“ nach ISO/IEC 27001:2005 zertifizieren zu lassen. Durch die Neuausgabe der ISO/IEC 27001 müsste das Grundschutzzertifikat angepasst werden, was derzeit aber nicht abzusehen ist. Die Übergangsfrist für bestehende Zertifikate wurde von der IAF auf 2 Jahre festgelegt, bis Oktober 2015.
Die Zertifizierung erfolgt durch akkreditierte Unternehmen, sogenannte Zertifizierungsstellen. Eine aktuelle Liste der akkreditierten Stellen, auch für andere Zertifizierungen, kann bei der DAkkS - Deutsche Akkreditierungsstelle GmbH (http://www.dakks.de) abgerufen werden.
Weitere Anmerkungen
Wegen der engen methodischen Anlehnung an die ISO 9000 (Qualitätsmanagement) und die ISO 14000 (Umweltmanagement) kann die ISO/IEC 27001 als ein Qualitätsstandard für Managementsysteme bezüglich der Informationssicherheit angesehen werden.
ISO/IEC 27001:2013 wird im Laufe des Jahres 2014 als DIN ISO/IEC 27001 als deutsche Sprachfassung ins Deutsche Normenwerk übernommen.
Bisherige Ausgaben
ISO/IEC 27001:2005
ISO/IEC 27001:2013
ISO/IEC 27006 |
|
||||||
ISO/IEC 27007 |
|
||||||
ISO/IEC TR 27008 |
|
||||||
ISO/IEC 27013 |
|
||||||
BSI-Standard 200-1 |
|
||||||
BSI-Standard 200-2 |
|
||||||
BSI-Standard 100-4 |
|
||||||
IT-Grundschutz-Kompendium |
|
||||||
ISO/IEC 27001 |
|
||||||
ISO/IEC 27002 |
|
||||||
ISO/IEC 27003 |
|