ISO/27001: Unterschied zwischen den Versionen

Aus Foxwiki
Keine Bearbeitungszusammenfassung
Zeile 28: Zeile 28:


= TMP =
= TMP =
| Typ                  = ISO/IEC
| Nummer              = 27001
| Bereich              = Informationstechnik
| Titel                = Informationssicherheit, Cybersicherheit und Datenschutz - Informationssicherheitsmanagementsysteme - Anforderungen
Die internationale [[Normung|Norm]] '''[[Internationale Organisation für Normung|ISO]]/[[International Electrotechnical Commission|IEC]] 27001''' ''Information technology – Security techniques – Information security management systems – Requirements'' spezifiziert die Anforderungen für Einrichtung, Umsetzung, Aufrechterhaltung und fortlaufende Verbesserung eines dokumentierten [[Information Security Management System|Informationssicherheits-Managementsystems]] unter Berücksichtigung des Kontexts einer Organisation. Darüber hinaus beinhaltet die Norm Anforderungen für die Beurteilung und Behandlung von Informationssicherheitsrisiken entsprechend den individuellen Bedürfnissen der Organisation.<ref>{{Internetquelle |url=https://www.beuth.de/de/norm/din-iso-iec-27001/230311916 |titel=DIN ISO/IEC 27001:2015-03 – Beuth.de |werk=www.beuth.de |abruf=2016-11-24}}</ref> Hierbei werden sämtliche Arten von Organisationen (z.&nbsp;B.&nbsp;Handelsunternehmen, staatliche Organisationen, Non-Profitorganisationen) berücksichtigt. Die Norm wurde auch als [[DIN-Norm]] veröffentlicht und ist Teil der ''[[ISO/IEC 27000-Reihe|ISO/IEC&nbsp;2700x-Familie]]''.
Die Norm spezifiziert Anforderungen für die Implementierung von geeigneten Sicherheitsmechanismen, welche an die Gegebenheiten der einzelnen Organisationen adaptiert werden sollen. Der deutsche Anteil an diesem internationalen Normungsprojekt wird vom [[IT-Sicherheitsverfahren|DIN NIA-01-27 IT-Sicherheitsverfahren]] betreut.
Die ISO/IEC 27001:2005 wurde entworfen, um die Auswahl geeigneter Sicherheitsmechanismen zum Schutz sämtlicher Werte (Assets) in den Wertschöpfungsketten (siehe Scope der ISO/IEC 27001, …organization's overall business risk) sicherzustellen.
== Historische Entwicklung ==
Die ISO/IEC 27001:2005 ging aus dem zweiten Teil des britischen Standards [[BS 7799]]-2:2002 hervor. Sie wurde als internationale Norm erstmals am 15. Oktober 2005 veröffentlicht.
Seit September 2008 liegt die Norm auch als [[DIN-Norm]] DIN ISO/IEC 27001:2008 in der deutschen Übersetzung vor. Die deutsche Ausgabe wird vom DIN NIA-01-27 ''IT-Sicherheitsverfahren'' betreut, der an der internationalen Normungsarbeit im zuständigen Komitee ''ISO/IEC JTC 1/SC 27'' mitwirkt.
Am 25. September 2013 wurde die überarbeitete Version ''ISO/IEC 27001:2013'' in englischer Sprache veröffentlicht.
Am 10. Januar 2014 wurde die überarbeitete Version ''DIN ISO/IEC 27001:2014'' als Entwurf in deutscher Sprache veröffentlicht.
Im März 2015 wurde die überarbeitete Version ''DIN ISO/IEC 27001:2015'' in deutscher Sprache veröffentlicht.
Seit Juni 2017 ist die aktuelle Version der ''DIN EN ISO/IEC 27001:2017'' in deutscher Sprache veröffentlicht.<ref>{{Internetquelle |url=https://www.beuth.de/de/norm/din-en-iso-iec-27001/269670716 |titel=DIN EN ISO/IEC 27001:2017-06 – Beuth.de |abruf=2017-11-21}}</ref>
Am 25. Oktober 2022 wurde die überarbeitete Version ''ISO/IEC 27001:2022'' in englischer Sprache veröffentlicht.
== Anwendung ==
Die ISO/IEC 27001 soll für verschiedene Bereiche anwendbar sein, insbesondere:
* Zur Formulierung von Anforderungen und Zielsetzungen zur Informationssicherheit
* Zum kosteneffizienten Management von Sicherheitsrisiken
* Zur Sicherstellung der Konformität mit Gesetzen und Regulatorien
* Als Prozessrahmen für die Implementierung und das Management von Maßnahmen zur Sicherstellung von spezifischen Zielen zur Informationssicherheit
* Zur Definition von neuen Informationssicherheits-Managementprozessen
* Zur Identifikation und Definition von bestehenden Informationssicherheits-Managementprozessen
* Zur Definition von Informationssicherheits-Managementtätigkeiten
* Zum Gebrauch durch interne und externe Auditoren zur Feststellung des Umsetzungsgrades von Richtlinien und Standards
== Zertifizierung ==
=== Managementsysteme ===
Viele (Groß-)Firmen haben interne Sicherheitsrichtlinien für ihre IT. Durch eine interne Begutachtung (auch [[Audit]] genannt) können Unternehmen ihr korrektes Vorgehen im Abgleich mit ihren eigenen Vorgaben überprüfen. Unternehmen können damit allerdings ihre Kompetenzen im Bereich der IT-Sicherheit nicht öffentlichkeitswirksam gegenüber (möglichen) Kunden aufzeigen. Dazu ist eine [[Zertifizierung]] z.&nbsp;B.&nbsp;nach ''ISO/IEC 27001'', ''ISO/IEC 27001-Zertifikat auf Basis von [[IT-Grundschutz]]'' oder nach ''IT-Grundschutz''<ref>{{Internetquelle |url=https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/IT-Grundschutz/Zertifizierte-Informationssicherheit:zertifizierte-informationssicherheit_node.html|titel=Zertifizierte Informationssicherheit|werk=www.bsi.bund.de |hrsg=Bundesamt für Informationssicherheit |datum=2021-06-10 |abruf=2022-02-28}}</ref> sinnvoll.
Eine Organisation hat vielmehr drei Möglichkeiten, die Konformität zu einer Norm zu zeigen:
# sie kann ihre Konformität von sich aus verkünden,
# sie kann ihre Kunden bitten, die Konformität zu bestätigen, und
# ein unabhängiger externer Auditor kann die Konformität verifizieren.
Die ISO selbst führt keine Zertifizierungen durch, sie gibt nur den Rahmen vor.
=== Personen ===
Es existieren verschiedene, meist modulare, Schemata zur Ausbildung und Zertifizierung von Personen im Bereich der [[ISO/IEC 27000-Reihe]]. Diese werden von unterschiedlichen Zertifizierungsunternehmen gestaltet, siehe [[Liste der IT-Zertifikate]].
== Weblinks ==
== Weblinks ==
# [https://www.iso.org/standard/73906.html Offizielle Seite der Veröffentlichung der ISO/IEC 27001:2018 (englisch)]
# [https://www.iso.org/standard/73906.html Offizielle Seite der Veröffentlichung der ISO/IEC 27001:2018 (englisch)]

Version vom 30. August 2023, 14:29 Uhr

topic - Kurzbeschreibung

Beschreibung

Installation

Syntax

Optionen

Parameter

Umgebungsvariablen

Exit-Status

Anwendung

Fehlerbehebung

Konfiguration

Dateien

Anhang

Siehe auch

Sicherheit

Dokumentation

RFC
Man-Pages
Info-Pages

Links

Einzelnachweise
Projekt
Weblinks
  1. https://de.wikipedia.org/wiki/ISO/IEC_27001


TMP

Weblinks

  1. Offizielle Seite der Veröffentlichung der ISO/IEC 27001:2018 (englisch)
  2. DIN-Normenausschuss Informationstechnik und Anwendungen NA 043-01-27 AA IT-Sicherheitsverfahren
  3. Ein Vergleich der Versionen ISO/IEC 27001:2005 und 27001:2013