ISO/IEC 27001

_DSF0052-BearbeitetDie International Organization for Standardization (ISO), die internationale Vereinigung der Normungsorganisationen in Genf, und die International Electrotechnical Commission (IEC), die Normungsorganisation für Normen im Bereich der Elektrotechnik und Elektronik, ebenfalls mit Sitz in Genf, haben die wichtigsten Standards für Managementsysteme für Informationsicherheit, in der Normenfamilie 27000 zusammengefasst, entwickelt. Die ISO/IEC 27001:2013 wurde als DIN ISO/IEC 27001 als deutsche Sprachfassung als DIN-Norm veröffentlicht.
Der zentrale Standard dieser Normenfamilie ist der ISO/IEC 27001 „Information technology – Security techniques – Information security management systems – Requirements“, der aus dem zweiten Teil des britischen Standards BS 77992 abgeleitet wurde. Der Standard beschreibt, basierend auf den IT-Risiken einer Organisation, die Anforderungen für die Etablierung, Betrieb, Überwachung, Wartung und Verbesserung eines dokumentierten ISMS. Der nur aus ca. 25 Seiten bestehende Standard ist sehr knapp, abstrakt und allgemein formuliert um für alle Organisationen anwendbar zu sein. Konkrete Handlungsanweisungen können daraus nicht abgeleitet wer-den.
Dieser prozessorientierte Ansatz bildet die Basis für weitere Standards, die sich mit speziellen Konkretisierungen beschäftigen. So beinhaltet der ISO/IEC 27002 konkretere Empfehlungen für Sicherheitsmaßnahmen zur Steigerung der Informationssicherheit.
Wegen dieser engen methodischen Anlehnung an die Standards ISO 9000 (QM) , ISO 14000 (Umweltmanagement) und ISO/IEC 20000 (IT Servicemanagement) kann die ISO/IEC 27001 als Qualitätsstandard für Managementsysteme der Informationssicherheit bezeichnet werden und bietet somit auch die Möglichkeit die Managementsystem zu integrieren.
Für die ISO/IEC 27000 Standardfamilie wurde bei der Nummernkreis 27000 – 27044 reserviert, um für weitere Standards entsprechend Platz zu vorzuhalten:

– ISO/IEC 27000 Information security management systems – Overview and vocabulary
– ISO/IEC 27001 Code of practice for information security management
– ISO/IEC 27002 Code of practice for information security management
– ISO/IEC 27003 Information security management systems – Implementation Guidelines
– ISO/IEC 27004 Information security management measurements
– ISO/IEC 27005 Information Security Risk Management
– …
ISO/IEC 27032 Guidelines for Cybersecurity
– …

Der dem Standard ISO/IEC 27001 entsprechende Betrieb eines ISMS kann durch eine Zertifizierung belegt werden. Die Zertifizierung erfolgt durch eine akkreditierte Zertifizierungsstellen, die von der nationalen Akkreditierungsstelle der Bundesrepublik Deutschland der Deutsche Akkreditierungsstelle GmbH (DAkkS) dazu berechtigt worden sind.

Wir beraten Sie in allen Phasen, beginnend beim Aufbau der Informationssicherheits-Organisation, der Erstellung des Risikoinventars, der Auswahl geeigneter Sicherheitsmaßnahmen, der Durchführung interner ISMS-Audits, bis hin zur Zertifizierung.

KONTAKT