HomeNewsWozu brauchen wir Standards?Welche Standards gibt es?Anwendung im UnternehmenIT-Sicherheits- und RisikomanagementAllgemeine Informationssicherheits-Managementsysteme (ISMS)ISO/IEC 27001ISO/IEC 27002ISO/IEC 27003ISO/IEC 27006ISO/IEC 27007ISO/IEC 27013ISO/IEC TR 27008IT-GSSektorspezifische ISMSSicherheitsmaßnahmen und MonitoringRisikomanagementStandards mit IT-SicherheitsanforderungenVorschriftenEvaluierung von IT-SicherheitNormen zu kryptographischen und IT-SicherheitsverfahrenPhysische SicherheitDanksagung

Schnelleinstieg: 

Logo: Inhalte Verbessern

In Zusammenarbeit mit

Logo: DIN

|||

ISO/IEC 27001

ISO/IEC 27001

 

 Arbeitsgebiet:  Informationstechnik: IT-Sicherheitsverfahren 
 Name des Standards:  Information security management systems - Requirements
 Informationssicherheitsmanagementsysteme – Anforderungen 

Inhalt und Anwendungsbereich

ISO/IEC 27001 legt die Anforderungen für die Errichtung, Einführung, Aufrechterhaltung und kontinuierliche Verbesserung eines Informationssicherheits-Managementsystems fest. Da das Dokument sehr generisch gehalten ist, um auf alle Organisationen unabhängig von Typ, Größe und Geschäftsfeld anwendbar zu sein, haben diese Anforderungen einen niedrigen technischen Detaillierungsgrad, wobei die Anforderungen an die Prozesse wohl definiert sind. Aufbauend auf der Norm werden nationale Zertifizierungsschemata definiert.

Methodik

ISO/IEC 27001 berücksichtigt den in den ISO/IEC Direktiven Teil 1 festgeschriebenen Annex SL, der eine einheitliche Struktur und Wortwahl für Managementsysteme, bis hin zu identischen Kapiteln und einheitlichen Begriffsdefinitionen vorgibt. Die Struktur des ISMS ist damit kompatibel zu anderen Managementsystemen, die unter Berücksichtigung des Annex SL standardisiert sind wie z.B. zukünftig das Qualitätsmanagementsystem nach ISO 9000. Ein ISMS erlaubt es, ermittelte Risiken durch geeignete, in die Organisationsprozesse eingebettete Kontrollmechanismen zu reduzieren, zu verlagern oder anders zu kontrollieren. Hierbei sind die Geschäftsziele und die resultierenden Sicherheitsanforderungen als Input sowie “gemanagte” Informationssicherheit als Output anzusehen. Die transformierenden Systemprozesse sind das Aufbauen, das Umsetzen und Betreiben, das Überprüfen sowie das Aufrechterhalten und Verbessern.
Als Managementstandard richtet sich das Dokument an die Geschäftsleitung und den IT-Sicherheitsbeauftragten weniger an die Umsetzungsverantwortlichen, Techniker oder Administratoren.

Zertifizierung

Der Grad der Umsetzung des Informationssicherheits-Managementsystems kann von internen oder externen Parteien (Auditoren) kontrolliert werden. Bisher war es in Deutschland möglich sich mit dem vom BSI herausgegebenen Zertifikat „ISO/IEC 27001 auf Basis IT Grundschutz“ nach ISO/IEC 27001:2005 zertifizieren zu lassen. Durch die Neuausgabe der ISO/IEC 27001 müsste das Grundschutzzertifikat angepasst werden, was derzeit aber nicht abzusehen ist. Die Übergangsfrist für bestehende Zertifikate wurde von der IAF auf 2 Jahre festgelegt, bis Oktober 2015.
Die Zertifizierung erfolgt durch akkreditierte Unternehmen, sogenannte Zertifizierungsstellen. Eine aktuelle Liste der akkreditierten Stellen, auch für andere Zertifizierungen, kann bei der DAkkS - Deutsche Akkreditierungsstelle GmbH (http://www.dakks.de) abgerufen werden.

Weitere Anmerkungen

Wegen der engen methodischen Anlehnung an die ISO 9000 (Qualitätsmanagement) und die ISO 14000 (Umweltmanagement) kann die ISO/IEC 27001 als ein Qualitätsstandard für Managementsysteme bezüglich der Informationssicherheit angesehen werden.
ISO/IEC 27001:2013 wird im Laufe des Jahres 2014 als DIN ISO/IEC 27001 als deutsche Sprachfassung ins Deutsche Normenwerk übernommen.

Bisherige Ausgaben

ISO/IEC 27001:2005
ISO/IEC 27001:2013

 

© 2017, BITKOM - Nutzungsbedingungen für Inhalte der BITKOM-Internetseite