Im Bereich der Informationssicherheit wurden verschiedene Vorschriften und Richtlinien geschaffen, die teilweise andere Gruppen oder Themen betreffen.
Die Anwendung von Sicherheitsstandards und -vorschriften in Unternehmen oder öffentlichen Einrichtungen erhöht nicht nur die Sicherheit, sondern erleichtert auch die Koordination von Sicherheitsmaßnahmen zwischen verschiedenen Institutionen.
International sind die Standards für Informationssicherheit in den Organisationen ISO und IEC untergebracht, diese Standards werden in der 2700x-Serie zusammengefasst, die ständig erweitert wird. International werden diese Regeln als Standards bezeichnet. Einige dieser internationalen Normen werden auch in Übersetzungen als DIN-Normen veröffentlicht.
Der folgende Überblick veranschaulicht die wichtigsten Regeln und Vorschriften für Sie:
Wesentliche Normen der ISO-/IEC-2700x-Reihe:
ISO/IEC 27000
Der ISO 27000-Standard beschreibt ein Informationssicherheits-Managementsystem (ISMS) und die Beziehung zwischen den verschiedenen Standards in der ISO/IEC 2700x-Reihe. Hier finden Sie auch grundlegende ISMS-Begriffe und -Definitionen.
ISO/IEC 27001
Die Norm ist eine internationale Norm zum Management von Informationssicherheit, die auch eine Zertifizierung ermöglicht. Auf ca. neun Seiten werden normative Vorgaben zur Einführung, dem Betrieb und der Verbesserung eines Informationssicherheitsmanagementsystems dargestellt. Im Anhang werden mehr als 100 Maßnahmen aufgeführt, die unter Berücksichtigung der relevanten Risiken ausgewählt werden können. Der Leser erhält allerdings keine Hilfe im Hinblick auf die Umsetzung der Maßnahmen.
ISO/IEC 27002
Diese Norm unterstützt bei der Auswahl und Umsetzung der in der ISO/IEC 27001 beschriebenen Maßnahmen, um ein funktionierendes Sicherheitsmanagement aufzubauen und in der Institution zu implementieren. Die dafür geeigneten Sicherheitsmaßnahmen werden auf jeweils 90 Seiten der Norm ISO/ IEC 27002 beschrieben. Die Empfehlungen sind in erster Linie für das Management vorhergesehen und enthalten kaum konkrete technische Hinweise. Die Implementierung der Sicherheitsempfehlungen der ISO/IEC 27002 ist eine von vielen Wegen, die Anforderungen der ISO-Norm 27001 zu erfüllen.
ISO/IEC 27004
Die ISO-Norm 27004 umfasst die Bewertung der Umsetzung und der Wirksamkeit eines ISMS anhand verschiedener Bewertungsgrößen.
ISO/IEC 27005
Die ISO/IEC 27005 enthält Empfehlungen für das Risikomanagement. Unter anderem unterstützt sie bei der Erfüllung der Anforderungen aus ISO/IEC 27001. Hierbei wird allerdings keine konkrete Methode für das Risikomanagement vorgegeben. Diese Norm basiert wiederum wesentlich auf der Norm ISO/IEC 31000 Risk management.
ISO/IEC 27006
Diese Norm spezifiziert Anforderungen an die Akkreditierung von Zertifizierungsstellen für ISMS und behandelt auch Spezifika der ISMS-Zertifizierungsprozesse.
ISO/IEC 27009
Die ISO-Norm 27009 beschreibt, wie sektorspezifische Erweiterungen (z. B. aus den Bereichen Energie, Cloud Computing, Finanzen) zukünftig in ein ISMS nach ISO/IEC 27001 einfließen und dort als Anforderungen berücksichtigt werden können. Dazu sollen einzelne Maßnahmen aus dem Anhang der ISO/IEC 27001 erweitert bzw. ergänzt werden.
Weitere Normen der ISO-2700x-Reihe
Die Normenreihe ISO 2700 x wird voraussichtlich langfristig aus den ISO-Normen 27000 bis 271xx bestehen. Alle Normen dieser Reihe behandeln verschiedene Aspekte des Sicherheitsmanagements und beziehen sich auf die Anforderungen der ISO/IEC 27001. Die weiteren Normen sollen zum besseren Verständnis und zur praktischen Anwendbarkeit der ISO/IEC 27001 beitragen. Diese beschäftigen sich beispielsweise mit der Umsetzung der ISO/IEC 27001 in der Praxis und mit Methoden zur Kontinuität von Geschäftsprozessen.
Welchen Nutzen bringt Ihnen eine ISO/IEC 27001 Zertifizierung?
Eine ISO/IEC 27001-Zertifizierung ist eine international anerkannte Bestätigung, dass ein Unternehmen ein Informationssicherheitsmanagementsystem (ISMS) implementiert hat, das den Anforderungen der ISO/IEC 27001-Norm entspricht. Eine ISO/IEC 27001-Zertifizierung kann Ihnen viele Vorteile bieten, wie eine verbesserte Informationssicherheit, höhere Glaubwürdigkeit, Wettbewerbsvorteile, Erfüllung von Compliance-Anforderungen und ein verbessertes Risikomanagement.