ISO/IEC 27014

Inhalt und Anwendungsbereich
Der Standard ISO/IEC 27014 bildet die Schnittstelle zwischen der Organisation, der Geschäftsleitung sowie den Verantwortlichen für die Umsetzung und den Betrieb eines Information Security Management Systems. Es ist eine Ergänzung zu den Anforderungen aus ISO/IEC27001. Der Standard beschreibt, wie Maßnahmen zur Informationssicherheit  in der gesamten Organisation umgesetzt werden sowie IT-Sicherheitsberichte in einem geschäftlichen Kontext zurück an die Geschäftsleitung gelangen. Damit sind aussagekräftige und zeitnahe Entscheidungen zur Unterstützung der strategischen Ziele der Organisation möglich.

Methodik
Die Governance der Informationssicherheit muss die Ziele und Strategien für die Informationssicherheit an den wirtschaftlichen Zielen des Unternehmens ausrichten und gleichzeitig die Einhaltung von Gesetzen, Verordnungen und Verträge sicherstellen. Dazu gehört ein Risiko-Management-Ansatz (z.B. nach ISO/IEC 27005) kombiniert mit einem internen Kontrollsystem (IKS). Zu den Ergebnissen einer effektiven Umsetzung der Governance gehört den Status der Informationssicherheit sichtbar zu machen, eine Entscheidungsfindung bei der Behandlung von Informationssicherheitsrisiken zu ermöglichen sowie eine effiziente und effektive Planung von Investition zu gewährleisten. Weiterhin werden externer, d.h. rechtliche, regulatorische oder vertragliche Anforderungen bestmöglich eingehalten

Der Standard ISO/IEC 27014 definiert sechs Grundsätze:

1. Sicherstellen einer unternehmensweiten Informationssicherheit
2. Verfolgung eines Risikobasierten Ansatzes
3. Richtungsentscheidungen für Investitionsentscheidungen
4. Konformität mit internen und externen Anforderungen
5. Fördern eines positiven Sicherheitsumfelds
6. Bewertung der Kosten und des Nutzens der Informationssicherheit in Bezug auf die Geschäftsergebnisse

Bisherige Ausgaben
ISO/IEC 2014:2013