ISO/27001: Unterschied zwischen den Versionen

Aus Foxwiki
Keine Bearbeitungszusammenfassung
Keine Bearbeitungszusammenfassung
Zeile 3: Zeile 3:
== Beschreibung ==
== Beschreibung ==
[[File:img-009-006.png|mini]]
[[File:img-009-006.png|mini]]
Die internationale [[Normung|Norm]] '''[[Internationale Organisation für Normung|ISO]]/[[International Electrotechnical Commission|IEC]] 27001''' ''Information technology – Security techniques – Information security management systems – Requirements'' spezifiziert die Anforderungen für Einrichtung, Umsetzung, Aufrechterhaltung und fortlaufende Verbesserung eines dokumentierten [[Information Security Management System|Informationssicherheits-Managementsystems]] unter Berücksichtigung des Kontexts einer Organisation. Darüber hinaus beinhaltet die Norm Anforderungen für die Beurteilung und Behandlung von Informationssicherheitsrisiken entsprechend den individuellen Bedürfnissen der Organisation.
Die internationale [[Normung|Norm]] '''[[Internationale Organisation für Normung|ISO]]/[[International Electrotechnical Commission|IEC]] 27001''' ''Information technology – Security techniques – Information security management systems – Requirements'' spezifiziert die Anforderungen für Einrichtung, Umsetzung, Aufrechterhaltung und fortlaufende Verbesserung eines dokumentierten [[Information Security Management System|Informationssicherheits-Managementsystems]] unter Berücksichtigung des Kontexts einer Organisation
  Hierbei werden sämtliche Arten von Organisationen (z. B. Handelsunternehmen, staatliche Organisationen, Non-Profitorganisationen) berücksichtigt. Die Norm wurde auch als [[DIN-Norm]] veröffentlicht und ist Teil der ''[[ISO/IEC 27000-Reihe|ISO/IEC 2700x-Familie]]''.
* Darüber hinaus beinhaltet die Norm Anforderungen für die Beurteilung und Behandlung von Informationssicherheitsrisiken entsprechend den individuellen Bedürfnissen der Organisation
  Hierbei werden sämtliche Arten von Organisationen (z. B. Handelsunternehmen, staatliche Organisationen, Non-Profitorganisationen) berücksichtigt
* Die Norm wurde auch als [[DIN-Norm]] veröffentlicht und ist Teil der ''[[ISO/IEC 27000-Reihe|ISO/IEC 2700x-Familie]]''


Die Norm spezifiziert Anforderungen für die Implementierung von geeigneten Sicherheitsmechanismen, welche an die Gegebenheiten der einzelnen Organisationen adaptiert werden sollen. Der deutsche Anteil an diesem internationalen Normungsprojekt wird vom [[IT-Sicherheitsverfahren|DIN NIA-01-27 IT-Sicherheitsverfahren]] betreut.
Die Norm spezifiziert Anforderungen für die Implementierung von geeigneten Sicherheitsmechanismen, welche an die Gegebenheiten der einzelnen Organisationen adaptiert werden sollen
* Der deutsche Anteil an diesem internationalen Normungsprojekt wird vom [[IT-Sicherheitsverfahren|DIN NIA-01-27 IT-Sicherheitsverfahren]] betreut


Die ISO/IEC 27001:2005 wurde entworfen, um die Auswahl geeigneter Sicherheitsmechanismen zum Schutz sämtlicher Werte (Assets) in den Wertschöpfungsketten (siehe Scope der ISO/IEC 27001, …organization's overall business risk) sicherzustellen.
Die ISO/IEC 27001:2005 wurde entworfen, um die Auswahl geeigneter Sicherheitsmechanismen zum Schutz sämtlicher Werte (Assets) in den Wertschöpfungsketten (siehe Scope der ISO/IEC 27001, …organization's overall business risk) sicherzustellen


== Entwicklung ==
== Entwicklung ==
Aus Teil 2 von BS 7799 hat sich die Norm ISO/IEC 27001:2005 entwickelt.
Aus Teil 2 von BS 7799 hat sich die Norm ISO/IEC 27001:2005 entwickelt
* Sie spezifiziert die Anforderungen an ein [[Information Security Management System]] (ISMS).
* Sie spezifiziert die Anforderungen an ein [[Information Security Management System]] (ISMS)
* Innerhalb der ISO/IEC 2700x-Familie kann man mit Hilfe der ISO/IEC 27001 den Erfüllungsgrad der Konformität nachvollziehen.
* Innerhalb der ISO/IEC 2700x-Familie kann man mit Hilfe der ISO/IEC 27001 den Erfüllungsgrad der Konformität nachvollziehen
* Firmen und Behörden können anhand der ISO/IEC 27001 ihre ISMS beurteilen und zertifizieren lassen.
* Firmen und Behörden können anhand der ISO/IEC 27001 ihre ISMS beurteilen und zertifizieren lassen
  Typ                 = ISO/IEC
  Typ = ISO/IEC
  Nummer               = 27001
  Nummer = 27001
  Bereich             = Informationstechnik
  Bereich = Informationstechnik
  Titel               = Informationssicherheit, Cybersicherheit und Datenschutz - Informationssicherheitsmanagementsysteme-Anforderungen
  Titel = Informationssicherheit, Cybersicherheit und Datenschutz - Informationssicherheitsmanagementsysteme-Anforderungen


[[File:img-013-011.png|mini|400px]]
[[File:img-013-011.png|mini|400px]]
Zeile 27: Zeile 30:
| 2005 || ISO/IEC 27001:2005 ging aus dem zweiten Teil des britischen Standards [[BS 7799]]-2:2002 hervor
| 2005 || ISO/IEC 27001:2005 ging aus dem zweiten Teil des britischen Standards [[BS 7799]]-2:2002 hervor
|-
|-
| 2008 || Seit September 2008 liegt die Norm auch als [[DIN-Norm]] DIN ISO/IEC 27001:2008 in der deutschen Übersetzung vor. Die deutsche Ausgabe wird vom DIN NIA-01-27 ''IT-Sicherheitsverfahren'' betreut, der an der internationalen Normungsarbeit im zuständigen Komitee ''ISO/IEC JTC 1/SC 27'' mitwirkt.
| 2008 || Seit September 2008 liegt die Norm auch als [[DIN-Norm]] DIN ISO/IEC 27001:2008 in der deutschen Übersetzung vor
* Die deutsche Ausgabe wird vom DIN NIA-01-27 ''IT-Sicherheitsverfahren'' betreut, der an der internationalen Normungsarbeit im zuständigen Komitee ''ISO/IEC JTC 1/SC 27'' mitwirkt
|-
|-
| 2013 || Am 25. September 2013 wurde die überarbeitete Version ''ISO/IEC 27001:2013'' in englischer Sprache veröffentlicht.
| 2013 || Am 25. September 2013 wurde die überarbeitete Version ''ISO/IEC 27001:2013'' in englischer Sprache veröffentlicht
|-
|-
| 2014 || Am 10. Januar 2014 wurde die überarbeitete Version ''DIN ISO/IEC 27001:2014'' als Entwurf in deutscher Sprache veröffentlicht.
| 2014 || Am 10. Januar 2014 wurde die überarbeitete Version ''DIN ISO/IEC 27001:2014'' als Entwurf in deutscher Sprache veröffentlicht
|-
|-
| 2015 || Im März 2015 wurde die überarbeitete Version ''DIN ISO/IEC 27001:2015'' in deutscher Sprache veröffentlicht.
| 2015 || Im März 2015 wurde die überarbeitete Version ''DIN ISO/IEC 27001:2015'' in deutscher Sprache veröffentlicht
|-
|-
| 2017 || Seit Juni 2017 ist die aktuelle Version der ''DIN EN ISO/IEC 27001:2017'' in deutscher Sprache veröffentlicht
| 2017 || Seit Juni 2017 ist die aktuelle Version der ''DIN EN ISO/IEC 27001:2017'' in deutscher Sprache veröffentlicht
|-
|-
| 2022 || Am 25. Oktober 2022 wurde die überarbeitete Version ''ISO/IEC 27001:2022'' in englischer Sprache veröffentlicht.
| 2022 || Am 25. Oktober 2022 wurde die überarbeitete Version ''ISO/IEC 27001:2022'' in englischer Sprache veröffentlicht
|}
|}


Zeile 53: Zeile 57:
== Zertifizierung ==
== Zertifizierung ==
=== Managementsysteme ===
=== Managementsysteme ===
; Viele Einrichtungen haben interne Sicherheitsrichtlinien für ihre IT.
; Viele Einrichtungen haben interne Sicherheitsrichtlinien für ihre IT
* Durch eine interne Begutachtung (auch [[Audit]] genannt) können Unternehmen ihr korrektes Vorgehen im Abgleich mit ihren eigenen Vorgaben überprüfen.
* Durch eine interne Begutachtung (auch [[Audit]] genannt) können Unternehmen ihr korrektes Vorgehen im Abgleich mit ihren eigenen Vorgaben überprüfen
* Unternehmen können damit allerdings ihre Kompetenzen im Bereich der IT-Sicherheit nicht öffentlichkeitswirksam gegenüber (möglichen) Kunden aufzeigen.
* Unternehmen können damit allerdings ihre Kompetenzen im Bereich der IT-Sicherheit nicht öffentlichkeitswirksam gegenüber (möglichen) Kunden aufzeigen
* Dazu ist eine [[Zertifizierung]] z. B. nach ''ISO/IEC 27001'', ''ISO/IEC 27001-Zertifikat auf Basis von [[IT-Grundschutz]]'' oder nach ''IT-Grundschutz'' sinnvoll.
* Dazu ist eine [[Zertifizierung]] z. B. nach ''ISO/IEC 27001'', ''ISO/IEC 27001-Zertifikat auf Basis von [[IT-Grundschutz]]'' oder nach ''IT-Grundschutz'' sinnvoll


; Eine Organisation hat vielmehr drei Möglichkeiten, die Konformität zu einer Norm zu zeigen:
; Eine Organisation hat vielmehr drei Möglichkeiten, die Konformität zu einer Norm zu zeigen:
# sie kann ihre Konformität von sich aus verkünden,
# sie kann ihre Konformität von sich aus verkünden,
# sie kann ihre Kunden bitten, die Konformität zu bestätigen, und
# sie kann ihre Kunden bitten, die Konformität zu bestätigen, und
# ein unabhängiger externer Auditor kann die Konformität verifizieren.
# ein unabhängiger externer Auditor kann die Konformität verifizieren


; Die ISO selbst führt keine Zertifizierungen durch
; Die ISO selbst führt keine Zertifizierungen durch
Zeile 67: Zeile 71:


=== Personen ===
=== Personen ===
Es existieren verschiedene, meist modulare, Schemata zur Ausbildung und Zertifizierung von Personen im Bereich der [[ISO/IEC 27000-Reihe]]. Diese werden von unterschiedlichen Zertifizierungsunternehmen gestaltet, siehe [https://de.wikipedia.org/wiki/Liste_von_IT-Zertifikaten Liste der IT-Zertifikate].
Es existieren verschiedene, meist modulare, Schemata zur Ausbildung und Zertifizierung von Personen im Bereich der [[ISO/IEC 27000-Reihe]]
* Diese werden von unterschiedlichen Zertifizierungsunternehmen gestaltet, siehe [https://de.wikipedia.org/wiki/Liste_von_IT-Zertifikaten Liste der IT-Zertifikate]


<noinclude>
<noinclude>
Zeile 76: Zeile 81:
----
----
{{Special:PrefixIndex/ISO}}
{{Special:PrefixIndex/ISO}}
==== Links ====
==== Links ====
===== Projekt =====
===== Projekt =====

Version vom 10. März 2024, 14:08 Uhr

ISO/IEC 27001 - Kurzbeschreibung

Beschreibung

Die internationale Norm ISO/IEC 27001 Information technology – Security techniques – Information security management systems – Requirements spezifiziert die Anforderungen für Einrichtung, Umsetzung, Aufrechterhaltung und fortlaufende Verbesserung eines dokumentierten Informationssicherheits-Managementsystems unter Berücksichtigung des Kontexts einer Organisation

  • Darüber hinaus beinhaltet die Norm Anforderungen für die Beurteilung und Behandlung von Informationssicherheitsrisiken entsprechend den individuellen Bedürfnissen der Organisation
Hierbei werden sämtliche Arten von Organisationen (z. B. Handelsunternehmen, staatliche Organisationen, Non-Profitorganisationen) berücksichtigt

Die Norm spezifiziert Anforderungen für die Implementierung von geeigneten Sicherheitsmechanismen, welche an die Gegebenheiten der einzelnen Organisationen adaptiert werden sollen

Die ISO/IEC 27001:2005 wurde entworfen, um die Auswahl geeigneter Sicherheitsmechanismen zum Schutz sämtlicher Werte (Assets) in den Wertschöpfungsketten (siehe Scope der ISO/IEC 27001, …organization's overall business risk) sicherzustellen

Entwicklung

Aus Teil 2 von BS 7799 hat sich die Norm ISO/IEC 27001:2005 entwickelt

  • Sie spezifiziert die Anforderungen an ein Information Security Management System (ISMS)
  • Innerhalb der ISO/IEC 2700x-Familie kann man mit Hilfe der ISO/IEC 27001 den Erfüllungsgrad der Konformität nachvollziehen
  • Firmen und Behörden können anhand der ISO/IEC 27001 ihre ISMS beurteilen und zertifizieren lassen
Typ = ISO/IEC
Nummer = 27001
Bereich = Informationstechnik
Titel = Informationssicherheit, Cybersicherheit und Datenschutz - Informationssicherheitsmanagementsysteme-Anforderungen
Option Beschreibung
2005 ISO/IEC 27001:2005 ging aus dem zweiten Teil des britischen Standards BS 7799-2:2002 hervor
2008 Seit September 2008 liegt die Norm auch als DIN-Norm DIN ISO/IEC 27001:2008 in der deutschen Übersetzung vor
  • Die deutsche Ausgabe wird vom DIN NIA-01-27 IT-Sicherheitsverfahren betreut, der an der internationalen Normungsarbeit im zuständigen Komitee ISO/IEC JTC 1/SC 27 mitwirkt
2013 Am 25. September 2013 wurde die überarbeitete Version ISO/IEC 27001:2013 in englischer Sprache veröffentlicht
2014 Am 10. Januar 2014 wurde die überarbeitete Version DIN ISO/IEC 27001:2014 als Entwurf in deutscher Sprache veröffentlicht
2015 Im März 2015 wurde die überarbeitete Version DIN ISO/IEC 27001:2015 in deutscher Sprache veröffentlicht
2017 Seit Juni 2017 ist die aktuelle Version der DIN EN ISO/IEC 27001:2017 in deutscher Sprache veröffentlicht
2022 Am 25. Oktober 2022 wurde die überarbeitete Version ISO/IEC 27001:2022 in englischer Sprache veröffentlicht

Anwendung

Bereiche
  • Formulierung von Anforderungen und Zielsetzungen zur Informationssicherheit
  • Kosteneffizientes Management von Sicherheitsrisiken
  • Sicherstellung der Konformität mit Gesetzen und Regulatorien
  • Prozessrahmen für die Implementierung und das Management von Maßnahmen zur Sicherstellung von spezifischen Zielen zur Informationssicherheit
  • Definition von neuen Informationssicherheits-Managementprozessen
  • Identifikation und Definition von bestehenden Informationssicherheits-Managementprozessen
  • Definition von Informationssicherheits-Managementtätigkeiten
  • Gebrauch durch interne und externe Auditoren zur Feststellung des Umsetzungsgrades von Richtlinien und Standards

Zertifizierung

Managementsysteme

Viele Einrichtungen haben interne Sicherheitsrichtlinien für ihre IT
  • Durch eine interne Begutachtung (auch Audit genannt) können Unternehmen ihr korrektes Vorgehen im Abgleich mit ihren eigenen Vorgaben überprüfen
  • Unternehmen können damit allerdings ihre Kompetenzen im Bereich der IT-Sicherheit nicht öffentlichkeitswirksam gegenüber (möglichen) Kunden aufzeigen
  • Dazu ist eine Zertifizierung z. B. nach ISO/IEC 27001, ISO/IEC 27001-Zertifikat auf Basis von IT-Grundschutz oder nach IT-Grundschutz sinnvoll
Eine Organisation hat vielmehr drei Möglichkeiten, die Konformität zu einer Norm zu zeigen
  1. sie kann ihre Konformität von sich aus verkünden,
  2. sie kann ihre Kunden bitten, die Konformität zu bestätigen, und
  3. ein unabhängiger externer Auditor kann die Konformität verifizieren
Die ISO selbst führt keine Zertifizierungen durch
  • gibt nur den Rahmen vor

Personen

Es existieren verschiedene, meist modulare, Schemata zur Ausbildung und Zertifizierung von Personen im Bereich der ISO/IEC 27000-Reihe


Anhang

Siehe auch


Links

Projekt
Weblinks
  1. https://de.wikipedia.org/wiki/ISO/IEC_27001
  2. Offizielle Seite der Veröffentlichung der ISO/IEC 27001:2018 (englisch)
  3. DIN-Normenausschuss Informationstechnik und Anwendungen NA 043-01-27 AA IT-Sicherheitsverfahren
  4. Ein Vergleich der Versionen ISO/IEC 27001:2005 und 27001:2013