ISO 27001 - LinkFang.de





ISO/IEC 27001

(Weitergeleitet von: ISO/IEC_27001)

DIN ISO/IEC 27001
Bereich Informationstechnik
Titel IT-Sicherheitsverfahren – Informationssicherheits-Managementsysteme – Anforderungen
Letzte Ausgabe 2015-03
ISO ISO/IEC 27001:2013 + Cor. 1:2014

Die internationale Norm ISO/IEC 27001 Information technology – Security techniques – Information security management systems – Requirements spezifiziert die Anforderungen für Herstellung, Einführung, Betrieb, Überwachung, Wartung und Verbesserung eines dokumentierten Informationssicherheits-Managementsystems unter Berücksichtigung der IT-Risiken innerhalb der gesamten Organisation. Hierbei werden sämtliche Arten von Organisationen (z. B. Handelsunternehmen, staatliche Organisationen, Non-Profitorganisationen) berücksichtigt. Die Norm wurde auch als DIN-Norm veröffentlicht und ist Teil der ISO/IEC 2700x-Familie.

Die Norm spezifiziert Anforderungen für die Implementierung von geeigneten Sicherheitsmechanismen, welche an die Gegebenheiten der einzelnen Organisationen adaptiert werden sollen. Der deutsche Anteil an diesem internationalen Normungsprojekt wird vom DIN NIA-01-27 IT-Sicherheitsverfahren betreut.

Die ISO/IEC 27001:2005 wurde entworfen, um die Auswahl geeigneter Sicherheitsmechanismen zum Schutz sämtlicher Werte (Assets) in den Wertschöpfungsketten (siehe Scope der ISO/IEC 27001, ...organization's overall business risk) sicherzustellen.

Historische Entwicklung

Die ISO/IEC 27001:2005 ging aus dem zweiten Teil des britischen Standards BS 7799-2:2002 hervor. Sie wurde als internationale Norm erstmals am 15. Oktober 2005 veröffentlicht.

Seit September 2008 liegt die Norm auch als DIN-Norm DIN ISO/IEC 27001:2008 in der deutschen Übersetzung vor. Die deutsche Ausgabe wird vom DIN NIA-01-27 IT-Sicherheitsverfahren betreut, der an der internationalen Normungsarbeit im zuständigen Komitee ISO/IEC JTC 1/SC 27 mitwirkt. Zurzeit gültige Ausgabe: 2015-03.

Am 25. September 2013 wurde die überarbeitete Version ISO/IEC 27001:2013 in englischer Sprache veröffentlicht.[1]

Am 10. Januar 2014 wurde die überarbeitete Version DIN ISO/IEC 27001:2014 als Entwurf in deutscher Sprache veröffentlicht.[2]

Seit März 2015 ist die finale Version der DIN ISO/IEC 27001:2015 in deutscher Sprache veröffentlicht.[3]

Anwendung

Die ISO/IEC 27001 soll für verschiedene Bereiche anwendbar sein, insbesondere:

  • Zur Formulierung von Anforderungen und Zielsetzungen zur Informationssicherheit
  • Zum kosteneffizienten Management von Sicherheitsrisiken
  • Zur Sicherstellung der Konformität mit Gesetzen und Regulatorien
  • Als Prozessrahmen für die Implementierung und das Management von Maßnahmen zur Sicherstellung von spezifischen Zielen zur Informationssicherheit
  • Zur Definition von neuen Informationssicherheits-Managementprozessen
  • Zur Identifikation und Definition von bestehenden Informationssicherheits-Managementprozessen
  • Zur Definition von Informationssicherheits-Managementtätigkeiten
  • Zum Gebrauch durch interne und externe Auditoren zur Feststellung des Umsetzungsgrades von Richtlinien und Standards

Zertifizierung

Managementsysteme

Viele (Groß-)Firmen haben interne Sicherheitsrichtlinien für ihre IT. Durch eine interne Begutachtung (auch Audit genannt) können Unternehmen ihr korrektes Vorgehen im Abgleich mit ihren eigenen Vorgaben überprüfen. Unternehmungen können damit allerdings ihre Kompetenzen im Bereich der IT-Sicherheit nicht öffentlichkeitswirksam gegenüber (möglichen) Kunden aufzeigen. Dazu ist eine Zertifizierung z.B. nach ISO/IEC 27001 oder ISO/IEC 27001-Zertifikat auf Basis von IT-Grundschutz notwendig.

Es ist zu beachten, dass die ISO selbst keine Zertifizierungen durchführt. Eine Organisation hat vielmehr drei Möglichkeiten, die Konformität zu einer Norm zu zeigen:

  1. sie kann ihre Konformität von sich aus verkünden,
  2. sie kann ihre Kunden bitten, die Konformität zu bestätigen und
  3. ein unabhängiger externer Auditor kann die Konformität verifizieren.[4]

Personen

Es existieren verschiedene, meist modulare, Schemata zur Ausbildung und Zertifizierung von Personen im Bereich der ISO/IEC 27000-Reihe. Diese werden von unterschiedlichen Zertifizierungsunternehmen gestaltet, siehe Liste der IT-Zertifikate.

Weblinks

Einzelnachweise

  1. The new version of ISO/IEC 27001:2013 is here. In: bsigroup.com. 25. September 2013, abgerufen am 1. Oktober 2013.
  2. DIN ISO/IEC 27001:2014-02 [NEU]. In: beuth.de. 10. Januar 2014, abgerufen am 15. November 2014.
  3. DIN ISO/IEC 27001:2015-03 [NEU]. In: beuth.de. Abgerufen am 26. März 2015.
  4. Management system standards. In: iso.org. International Organization for Standardization, 2013, abgerufen am 27. September 2013.

Kategorien: Keine Kategorien vorhanden!

Quelle: Wikipedia - http://de.wikipedia.org/wiki/ISO/IEC 27001 (Vollständige Liste der Autoren des Textes [Versionsgeschichte])    Lizenz: CC-by-sa-3.0

Änderungen: Alle Bilder mit den meisten Bildunterschriften wurden entfernt. Ebenso alle zu nicht-existierenden Artikeln/Kategorien gehenden internen Wikipedia-Links (Bsp. Portal-Links, Redlinks, Bearbeiten-Links). Entfernung von Navigationsframes, Geo & Normdaten, Mediadateien, gesprochene Versionen, z.T. ID&Class-Namen, Style von Div-Containern, Metadaten, Vorlagen, wie lesenwerte Artikel. Ansonsten sind keine Inhaltsänderungen vorgenommen worden. Weiterhin kann es durch die maschinelle Bearbeitung des Inhalts zu Fehlern gerade in der Darstellung kommen. Darum würden wir jeden Besucher unserer Seite darum bitten uns diese Fehler über den Support mittels einer Nachricht mit Link zu melden. Vielen Dank!

Stand der Informationen: August 201& - Wichtiger Hinweis: Da die Inhalte maschinell von Wikipedia übernommen wurden, ist eine manuelle Überprüfung nicht möglich. Somit garantiert LinkFang.de nicht die Richtigkeit und Aktualität der übernommenen Inhalte. Sollten die Informationen mittlerweile fehlerhaft sein, bitten wir Sie darum uns per Support oder E-Mail zu kontaktieren. Wir werden uns dann innerhalb von spätestens 10 Tagen um Ihr Anliegen kümmern. Auch ohne Anliegen erfolgt mindestens alle drei Monate ein Update der gesamten Inhalte.