ISO/27001: Unterschied zwischen den Versionen

Aus Foxwiki
 
(46 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt)
Zeile 1: Zeile 1:
'''ISO/IEC 27001''' - Information technology – Security techniques – Information security management systems – Requirements
'''ISO/27001''' - [[IT-Grundschutz/Kompendium/Anforderung|Anforderungen]] an ein [[Informationssicherheitsmanagementsystem]]


== Beschreibung ==
== Beschreibung ==
[[File:img-009-006.png|mini]]
; [[Internationale Organisation für Normung|ISO]]/[[International Electrotechnical Commission|IEC]] 27001
Informationstechnologie - Sicherheitstechniken - Informationssicherheitsmanagementsysteme - Anforderungen
Internationale [[Normung|Norm]]
* Internationale [[Normung|Norm]]
* Informationstechnologie - Sicherheitstechniken - Informationssicherheitsmanagementsysteme - Anforderungen
* [[Internationale Organisation für Normung|ISO]]/[[International Electrotechnical Commission|IEC]] 27001
* Information technology – Security techniques – Information security management systems – Requirements
; Spezifiziert Anforderungen
 
* Einrichtung
Dokumentiertes [[Information Security Management System|Informationssicherheits-Managementsystems]]
* Umsetzung
* Aufrechterhaltung
* Fortlaufende Verbesserung
* eines dokumentierten [[Information Security Management System|Informationssicherheits-Managementsystems]]  
* unter Berücksichtigung des Kontexts einer Organisation
* unter Berücksichtigung des Kontexts einer Organisation


; Anforderungen an ein [[ISMS]]
{| class="wikitable options big"
|-
| [[#Einrichtung|Einrichtung]]
|-
| [[#Umsetzung|Umsetzung]]
|-
| [[#Aufrechterhaltung|Aufrechterhaltung]]
|-
| [[#Fortlaufende Verbesserung|Fortlaufende Verbesserung]]
|}
; Beurteilung und Behandlung von Informationssicherheitsrisiken
Weiterhin beinhaltet die Norm Anforderungen für die Beurteilung und Behandlung von Informationssicherheitsrisiken entsprechend den individuellen Bedürfnissen der Organisation
Weiterhin beinhaltet die Norm Anforderungen für die Beurteilung und Behandlung von Informationssicherheitsrisiken entsprechend den individuellen Bedürfnissen der Organisation
* Hierbei werden sämtliche Arten von Organisationen (z. B. Handelsunternehmen, staatliche Organisationen, Non-Profitorganisationen) berücksichtigt
* Hierbei werden sämtliche Arten von Organisationen (z. B. Handelsunternehmen, staatliche Organisationen, Non-Profitorganisationen) berücksichtigt
* Die Norm wurde auch als [[DIN-Norm]] veröffentlicht und ist Teil der ''[[ISO/IEC 27000-Reihe|ISO/IEC 2700x-Familie]]''
* Die Norm wurde auch als [[DIN-Norm]] veröffentlicht und ist Teil der ''[[ISO 27000]]-Reihe''


Die Norm spezifiziert Anforderungen für die Implementierung von geeigneten Sicherheitsmechanismen, welche an die Gegebenheiten der einzelnen Organisationen adaptiert werden sollen
Die Norm spezifiziert Anforderungen für die Implementierung von geeigneten Sicherheitsmechanismen, welche an die Gegebenheiten der einzelnen Organisationen adaptiert werden sollen
* Der deutsche Anteil an diesem internationalen Normungsprojekt wird vom [[IT-Sicherheitsverfahren|DIN NIA-01-27 IT-Sicherheitsverfahren]] betreut
* Der deutsche Anteil an diesem internationalen Normungsprojekt wird vom [[IT-Sicherheitsverfahren|DIN NIA-01-27 IT-Sicherheitsverfahren]] betreut


Die ISO/IEC 27001:2005 wurde entworfen, um die Auswahl geeigneter Sicherheitsmechanismen zum Schutz sämtlicher Werte (Assets) in den Wertschöpfungsketten (siehe Scope der ISO/IEC 27001, …organization's overall business risk) sicherzustellen
== Inhalte ==
[[File:iso27001Inhalt.png|400px]]
 
[[File:iso27001Gliederung2.png|600px]]


== Anwendung ==
== Anwendung ==
Zeile 34: Zeile 46:
* Gebrauch durch interne und externe Auditoren zur Feststellung des Umsetzungsgrades von Richtlinien und Standards
* Gebrauch durch interne und externe Auditoren zur Feststellung des Umsetzungsgrades von Richtlinien und Standards


== Anforderungen Normativ ==
== Anforderungen ==
=== Anhang (Normativ)===
; Beispiele für Anforderungen
[[File:organisatorischeMaßnahmen.png|850px]]
[[File:organisatorischeMaßnahmen.png|850px]]


Zeile 42: Zeile 56:


[[File:technologischeMaßnahmen.png|900px]]
[[File:technologischeMaßnahmen.png|900px]]
=== Zuordnung ISO und IT-Grundschutz ===
[[:file:Zuordnung_ISO_und_IT_Grundschutz_Edit_6.pdf|Zuordnung ISO und IT-Grundschutz]]


== Zertifizierung ==
== Zertifizierung ==
[[ISO/27001/Zertifizierung]]
=== Managementsysteme ===
Viele Einrichtungen haben interne Sicherheitsrichtlinien für ihre IT
 
* Durch eine interne Begutachtung ([[Audit]]) können Unternehmen ihr korrektes Vorgehen im Abgleich mit ihren eigenen Vorgaben überprüfen
 
* Unternehmen können damit allerdings ihre Kompetenzen im Bereich der IT-Sicherheit nicht öffentlichkeitswirksam gegenüber (möglichen) Kunden aufzeigen
 
* Dazu ist eine [[Zertifizierung]] z. B. nach ''ISO/IEC 27001'', ''ISO/IEC 27001-Zertifikat auf Basis von [[IT-Grundschutz]]'' oder nach ''IT-Grundschutz'' sinnvoll
 
; Konformität zu Normen und Standards
# Konformität von sich aus verkünden
# Kunden bitten, die Konformität zu bestätigen
# Unabhängiger externen Auditor kann die Konformität verifizieren
# Begutachtung durch eine staatliche Stelle (z. B.  das [[BSI]])
 
; Die ISO selbst führt keine Zertifizierungen durch
* Gibt den Rahmen vor
 
=== Personen ===
Es existieren verschiedene, meist modulare, Schemata zur Ausbildung und Zertifizierung von Personen im Bereich der [[ISO/IEC 27000-Reihe]]
* Diese werden von unterschiedlichen Zertifizierungsunternehmen gestaltet, siehe [https://de.wikipedia.org/wiki/Liste_von_IT-Zertifikaten Liste der IT-Zertifikate]


<noinclude>
<noinclude>

Aktuelle Version vom 18. November 2024, 22:14 Uhr

ISO/27001 - Anforderungen an ein Informationssicherheitsmanagementsystem

Beschreibung

ISO/IEC 27001

Internationale Norm

  • Informationstechnologie - Sicherheitstechniken - Informationssicherheitsmanagementsysteme - Anforderungen
  • Information technology – Security techniques – Information security management systems – Requirements

Dokumentiertes Informationssicherheits-Managementsystems

  • unter Berücksichtigung des Kontexts einer Organisation
Anforderungen an ein ISMS
Einrichtung
Umsetzung
Aufrechterhaltung
Fortlaufende Verbesserung
Beurteilung und Behandlung von Informationssicherheitsrisiken

Weiterhin beinhaltet die Norm Anforderungen für die Beurteilung und Behandlung von Informationssicherheitsrisiken entsprechend den individuellen Bedürfnissen der Organisation

  • Hierbei werden sämtliche Arten von Organisationen (z. B. Handelsunternehmen, staatliche Organisationen, Non-Profitorganisationen) berücksichtigt
  • Die Norm wurde auch als DIN-Norm veröffentlicht und ist Teil der ISO 27000-Reihe

Die Norm spezifiziert Anforderungen für die Implementierung von geeigneten Sicherheitsmechanismen, welche an die Gegebenheiten der einzelnen Organisationen adaptiert werden sollen

Inhalte

Anwendung

Bereiche
  • Formulierung von Anforderungen und Zielsetzungen zur Informationssicherheit
  • Kosteneffizientes Management von Sicherheitsrisiken
  • Sicherstellung der Konformität mit Gesetzen und Regulatorien
  • Prozessrahmen für die Implementierung und das Management von Maßnahmen zur Sicherstellung von spezifischen Zielen zur Informationssicherheit
  • Definition von neuen Informationssicherheits-Managementprozessen
  • Identifikation und Definition von bestehenden Informationssicherheits-Managementprozessen
  • Definition von Informationssicherheits-Managementtätigkeiten
  • Gebrauch durch interne und externe Auditoren zur Feststellung des Umsetzungsgrades von Richtlinien und Standards

Anforderungen

Anhang (Normativ)

Beispiele für Anforderungen

Zuordnung ISO und IT-Grundschutz

Zuordnung ISO und IT-Grundschutz

Zertifizierung

Managementsysteme

Viele Einrichtungen haben interne Sicherheitsrichtlinien für ihre IT

  • Durch eine interne Begutachtung (Audit) können Unternehmen ihr korrektes Vorgehen im Abgleich mit ihren eigenen Vorgaben überprüfen
  • Unternehmen können damit allerdings ihre Kompetenzen im Bereich der IT-Sicherheit nicht öffentlichkeitswirksam gegenüber (möglichen) Kunden aufzeigen
  • Dazu ist eine Zertifizierung z. B. nach ISO/IEC 27001, ISO/IEC 27001-Zertifikat auf Basis von IT-Grundschutz oder nach IT-Grundschutz sinnvoll
Konformität zu Normen und Standards
  1. Konformität von sich aus verkünden
  2. Kunden bitten, die Konformität zu bestätigen
  3. Unabhängiger externen Auditor kann die Konformität verifizieren
  4. Begutachtung durch eine staatliche Stelle (z. B.  das BSI)
Die ISO selbst führt keine Zertifizierungen durch
  • Gibt den Rahmen vor

Personen

Es existieren verschiedene, meist modulare, Schemata zur Ausbildung und Zertifizierung von Personen im Bereich der ISO/IEC 27000-Reihe


Anhang

Siehe auch


Links

Projekt
Weblinks
  1. https://de.wikipedia.org/wiki/ISO/IEC_27001
  2. Offizielle Seite der Veröffentlichung der ISO/IEC 27001:2018 (englisch)
  3. DIN-Normenausschuss Informationstechnik und Anwendungen NA 043-01-27 AA IT-Sicherheitsverfahren
  4. Ein Vergleich der Versionen ISO/IEC 27001:2005 und 27001:2013