ISO/IEC 27001

Die International Organization for Standardization (ISO), die internationale Vereinigung der Normungsorganisationen in Genf, und die International Electrotechnical Commission (IEC), die Normungsorganisation für Normen im Bereich der Elektrotechnik und Elektronik, ebenfalls mit Sitz in Genf, haben die wichtigsten Standards für Managementsysteme für Informationsicherheit, in der Normenfamilie 27000 zusammengefasst, entwickelt. Die ISO/IEC 27001:2013 wurde als DIN ISO/IEC 27001 als deutsche Sprachfassung als DIN-Norm veröffentlicht.
Der zentrale Standard dieser Normenfamilie ist der ISO/IEC 27001 „Information technology – Security techniques – Information security management systems – Requirements“, der aus dem zweiten Teil des britischen Standards BS 77992 abgeleitet wurde. Der Standard beschreibt, basierend auf den IT-Risiken einer Organisation, die Anforderungen für die Etablierung, Betrieb, Überwachung, Wartung und Verbesserung eines dokumentierten ISMS. Der nur aus ca. 25 Seiten bestehende Standard ist sehr knapp, abstrakt und allgemein formuliert um für alle Organisationen anwendbar zu sein. Konkrete Handlungsanweisungen können daraus nicht abgeleitet wer-den.
Dieser prozessorientierte Ansatz bildet die Basis für weitere Standards, die sich mit speziellen Konkretisierungen beschäftigen. So beinhaltet der ISO/IEC 27002 konkretere Empfehlungen für Sicherheitsmaßnahmen zur Steigerung der Informationssicherheit.
Wegen dieser engen methodischen Anlehnung an die Standards ISO 9000 (QM) , ISO 14000 (Umweltmanagement) und ISO/IEC 20000 (IT Servicemanagement) kann die ISO/IEC 27001 als Qualitätsstandard für Managementsysteme der Informationssicherheit bezeichnet werden und bietet somit auch die Möglichkeit die Managementsystem zu integrieren.
Für die ISO/IEC 27000 Standardfamilie wurde bei der Nummernkreis 27000 – 27044 reserviert, um für weitere Standards entsprechend Platz zu vorzuhalten:

Begriffe und Grundlagen

  • ISO/IEC 27000 Information security management systems – Overview and vocabulary

Anforderungen

  • ISO/IEC 27001 Code Information security management systems – Requirements
  • ISO/IEC 27006 Information technology – Security techniques – Requirements for bodies providing audit and certification of information security management systems

Allgemeine Leitfäden

  • ISO/IEC 27002 Code of practice for information security management
  • ISO/IEC 27003 Information security management systems – Implementation Guidelines
  • ISO/IEC 27004 Information security management measurements
  • ISO/IEC 27005 Information Security Risk Management
  • ISO/IEC 27007 Information technology – Security techniques – Guidelines for information security management systems auditing.
  • ISO/IEC TR 27008 Information technology – Security techniques – Guidance for auditors on information security management systems controls.

Sektoren- und maßnahmenspezifische technische Leitfäden

  • ISO/IEC 27011: Information security management guidelines for telecommunications organizations based on ISO/IEC 27002
  • ISO/IEC TR 27019: Information security management guidelines based on ISO/IEC 27002 for process control systems specific to the energy industry
  • ISO/IEC 27032 Guidelines for Cybersecurity
  • ISO/IEC 27034 Guidelines for application security
  • ISO/IEC 27035 Information security incident management

Der dem Standard ISO/IEC 27001 entsprechende Betrieb eines ISMS kann durch eine Zertifizierung belegt werden. Die Zertifizierung erfolgt durch eine akkreditierte Zertifizierungsstellen, die von der nationalen Akkreditierungsstelle der Bundesrepublik Deutschland der Deutsche Akkreditierungsstelle GmbH (DAkkS) dazu berechtigt worden sind.

Wir beraten Sie in allen Phasen, beginnend beim Aufbau der Informationssicherheits-Organisation, der Erstellung des Risikoinventars, der Auswahl geeigneter Sicherheitsmaßnahmen, der Durchführung interner ISMS-Audits, bis hin zur Zertifizierung.