ISO/27001: Unterschied zwischen den Versionen
(4 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt) | |||
Zeile 1: | Zeile 1: | ||
'''ISO/IEC 27001''' - | '''ISO/IEC 27001''' - Informationstechnologie - Sicherheitstechniken - Informationssicherheitsmanagementsysteme - Anforderungen | ||
== Beschreibung == | == Beschreibung == | ||
[[File:img-009-006.png|mini]] | [[File:img-009-006.png|mini]] | ||
Information technology – Security techniques – Information security management systems – Requirements | |||
* Internationale [[Normung|Norm]] | * Internationale [[Normung|Norm]] | ||
* [[Internationale Organisation für Normung|ISO]]/[[International Electrotechnical Commission|IEC]] 27001 | * [[Internationale Organisation für Normung|ISO]]/[[International Electrotechnical Commission|IEC]] 27001 | ||
Dokumentiertes [[Information Security Management System|Informationssicherheits-Managementsystems]] | Dokumentiertes [[Information Security Management System|Informationssicherheits-Managementsystems]] | ||
* unter Berücksichtigung des Kontexts einer Organisation | * unter Berücksichtigung des Kontexts einer Organisation | ||
Zeile 41: | Zeile 41: | ||
* Gebrauch durch interne und externe Auditoren zur Feststellung des Umsetzungsgrades von Richtlinien und Standards | * Gebrauch durch interne und externe Auditoren zur Feststellung des Umsetzungsgrades von Richtlinien und Standards | ||
== Anforderungen | == Anforderungen == | ||
* Anhang | |||
* Normativ | |||
<!--- | |||
[[File:organisatorischeMaßnahmen.png|850px]] | [[File:organisatorischeMaßnahmen.png|850px]] | ||
Zeile 49: | Zeile 53: | ||
[[File:technologischeMaßnahmen.png|900px]] | [[File:technologischeMaßnahmen.png|900px]] | ||
--> | |||
== Zertifizierung == | == Zertifizierung == | ||
=== Managementsysteme === | === Managementsysteme === | ||
Viele Einrichtungen haben interne Sicherheitsrichtlinien für ihre IT | Viele Einrichtungen haben interne Sicherheitsrichtlinien für ihre IT | ||
* Durch eine interne Begutachtung ( | |||
* Durch eine interne Begutachtung ([[Audit]]) können Unternehmen ihr korrektes Vorgehen im Abgleich mit ihren eigenen Vorgaben überprüfen | |||
* Unternehmen können damit allerdings ihre Kompetenzen im Bereich der IT-Sicherheit nicht öffentlichkeitswirksam gegenüber (möglichen) Kunden aufzeigen | * Unternehmen können damit allerdings ihre Kompetenzen im Bereich der IT-Sicherheit nicht öffentlichkeitswirksam gegenüber (möglichen) Kunden aufzeigen | ||
* Dazu ist eine [[Zertifizierung]] z. B. nach ''ISO/IEC 27001'', ''ISO/IEC 27001-Zertifikat auf Basis von [[IT-Grundschutz]]'' oder nach ''IT-Grundschutz'' sinnvoll | * Dazu ist eine [[Zertifizierung]] z. B. nach ''ISO/IEC 27001'', ''ISO/IEC 27001-Zertifikat auf Basis von [[IT-Grundschutz]]'' oder nach ''IT-Grundschutz'' sinnvoll | ||
; Konformität zu | ; Konformität zu Normen und Standards | ||
# Konformität von sich aus verkünden | # Konformität von sich aus verkünden | ||
# Kunden bitten, die Konformität zu bestätigen | # Kunden bitten, die Konformität zu bestätigen | ||
Zeile 64: | Zeile 72: | ||
; Die ISO selbst führt keine Zertifizierungen durch | ; Die ISO selbst führt keine Zertifizierungen durch | ||
* | * Gibt den Rahmen vor | ||
=== Personen === | === Personen === |
Aktuelle Version vom 9. Juli 2024, 10:35 Uhr
ISO/IEC 27001 - Informationstechnologie - Sicherheitstechniken - Informationssicherheitsmanagementsysteme - Anforderungen
Beschreibung
Information technology – Security techniques – Information security management systems – Requirements
Dokumentiertes Informationssicherheits-Managementsystems
- unter Berücksichtigung des Kontexts einer Organisation
- Anforderungen an ein ISMS
Einrichtung |
Umsetzung |
Aufrechterhaltung |
Fortlaufende Verbesserung |
Weiterhin beinhaltet die Norm Anforderungen für die Beurteilung und Behandlung von Informationssicherheitsrisiken entsprechend den individuellen Bedürfnissen der Organisation
- Hierbei werden sämtliche Arten von Organisationen (z. B. Handelsunternehmen, staatliche Organisationen, Non-Profitorganisationen) berücksichtigt
- Die Norm wurde auch als DIN-Norm veröffentlicht und ist Teil der ISO 27000-Reihe
Die Norm spezifiziert Anforderungen für die Implementierung von geeigneten Sicherheitsmechanismen, welche an die Gegebenheiten der einzelnen Organisationen adaptiert werden sollen
- Der deutsche Anteil an diesem internationalen Normungsprojekt wird vom DIN NIA-01-27 IT-Sicherheitsverfahren betreut
Anwendung
- Bereiche
- Formulierung von Anforderungen und Zielsetzungen zur Informationssicherheit
- Kosteneffizientes Management von Sicherheitsrisiken
- Sicherstellung der Konformität mit Gesetzen und Regulatorien
- Prozessrahmen für die Implementierung und das Management von Maßnahmen zur Sicherstellung von spezifischen Zielen zur Informationssicherheit
- Definition von neuen Informationssicherheits-Managementprozessen
- Identifikation und Definition von bestehenden Informationssicherheits-Managementprozessen
- Definition von Informationssicherheits-Managementtätigkeiten
- Gebrauch durch interne und externe Auditoren zur Feststellung des Umsetzungsgrades von Richtlinien und Standards
Anforderungen
- Anhang
- Normativ
Zertifizierung
Managementsysteme
Viele Einrichtungen haben interne Sicherheitsrichtlinien für ihre IT
- Durch eine interne Begutachtung (Audit) können Unternehmen ihr korrektes Vorgehen im Abgleich mit ihren eigenen Vorgaben überprüfen
- Unternehmen können damit allerdings ihre Kompetenzen im Bereich der IT-Sicherheit nicht öffentlichkeitswirksam gegenüber (möglichen) Kunden aufzeigen
- Dazu ist eine Zertifizierung z. B. nach ISO/IEC 27001, ISO/IEC 27001-Zertifikat auf Basis von IT-Grundschutz oder nach IT-Grundschutz sinnvoll
- Konformität zu Normen und Standards
- Konformität von sich aus verkünden
- Kunden bitten, die Konformität zu bestätigen
- Unabhängiger externen Auditor kann die Konformität verifizieren
- Begutachtung durch eine staatliche Stelle (z. B. das BSI)
- Die ISO selbst führt keine Zertifizierungen durch
- Gibt den Rahmen vor
Personen
Es existieren verschiedene, meist modulare, Schemata zur Ausbildung und Zertifizierung von Personen im Bereich der ISO/IEC 27000-Reihe
- Diese werden von unterschiedlichen Zertifizierungsunternehmen gestaltet, siehe Liste der IT-Zertifikate