HomeNewsWozu brauchen wir Standards?Welche Standards gibt es?Anwendung im UnternehmenIT-Sicherheits- und RisikomanagementAllgemeine Informationssicherheits-Managementsysteme (ISMS)Sektorspezifische ISMSSicherheitsmaßnahmen und MonitoringRisikomanagementISO/IEC 27005ISO/IEC 27014MaRisk / MaRisk VAStandards mit IT-SicherheitsanforderungenVorschriftenEvaluierung von IT-SicherheitNormen zu kryptographischen und IT-SicherheitsverfahrenPhysische SicherheitDanksagung

Schnelleinstieg: 

Logo: Inhalte Verbessern

In Zusammenarbeit mit

Logo: DIN

|||

ISO/IEC 27014

ISO/IEC 27014

 

 Titel:  Informationstechnik
 Arbeitsgebiet:  IT-Sicherheitsverfahren
 Name des Standards:  Governance of information security
 Governance der Informationssicherheit

Inhalt und Anwendungsbereich

Der Standard ISO/IEC 27014 bildet die Schnittstelle zwischen der Organisation, der Geschäftsleitung sowie den Verantwortlichen für die Umsetzung und den Betrieb eines Information Security Management Systems. Es ist eine Ergänzung zu den Anforderungen aus ISO/IEC27001. Der Standard beschreibt, wie Maßnahmen zur Informationssicherheit  in der gesamten Organisation umgesetzt werden sowie IT-Sicherheitsberichte in einem geschäftlichen Kontext zurück an die Geschäftsleitung gelangen. Damit sind aussagekräftige und zeitnahe Entscheidungen zur Unterstützung der strategischen Ziele der Organisation möglich.

Methodik

Die Governance der Informationssicherheit muss die Ziele und Strategien für die Informationssicherheit an den wirtschaftlichen Zielen des Unternehmens ausrichten und gleichzeitig die Einhaltung von Gesetzen, Verordnungen und Verträge sicherstellen. Dazu gehört ein Risiko-Management-Ansatz (z.B. nach ISO/IEC 27005) kombiniert mit einem internen Kontrollsystem (IKS). Zu den Ergebnissen einer effektiven Umsetzung der Governance gehört den Status der Informationssicherheit sichtbar zu machen, eine Entscheidungsfindung bei der Behandlung von Informationssicherheitsrisiken zu ermöglichen sowie eine effiziente und effektive Planung von Investition zu gewährleisten. Weiterhin werden externer, d.h. rechtliche, regulatorische oder vertragliche Anforderungen bestmöglich eingehalten

Der Standard ISO/IEC 27014 definiert sechs Grundsätze:

1. Sicherstellen einer unternehmensweiten Informationssicherheit
2. Verfolgung eines Risikobasierten Ansatzes
3. Richtungsentscheidungen für Investitionsentscheidungen
4. Konformität mit internen und externen Anforderungen
5. Fördern eines positiven Sicherheitsumfelds
6. Bewertung der Kosten und des Nutzens der Informationssicherheit in Bezug auf die Geschäftsergebnisse

Bisherige Ausgaben

ISO/IEC 2014:2013

© 2017, BITKOM - Nutzungsbedingungen für Inhalte der BITKOM-Internetseite