|
|
| Zeile 28: |
Zeile 28: |
|
| |
|
| = TMP = | | = TMP = |
|
| |
| | Typ = ISO/IEC
| |
| | Nummer = 27001
| |
| | Bereich = Informationstechnik
| |
| | Titel = Informationssicherheit, Cybersicherheit und Datenschutz - Informationssicherheitsmanagementsysteme - Anforderungen
| |
|
| |
| Die internationale [[Normung|Norm]] '''[[Internationale Organisation für Normung|ISO]]/[[International Electrotechnical Commission|IEC]] 27001''' ''Information technology – Security techniques – Information security management systems – Requirements'' spezifiziert die Anforderungen für Einrichtung, Umsetzung, Aufrechterhaltung und fortlaufende Verbesserung eines dokumentierten [[Information Security Management System|Informationssicherheits-Managementsystems]] unter Berücksichtigung des Kontexts einer Organisation. Darüber hinaus beinhaltet die Norm Anforderungen für die Beurteilung und Behandlung von Informationssicherheitsrisiken entsprechend den individuellen Bedürfnissen der Organisation.<ref>{{Internetquelle |url=https://www.beuth.de/de/norm/din-iso-iec-27001/230311916 |titel=DIN ISO/IEC 27001:2015-03 – Beuth.de |werk=www.beuth.de |abruf=2016-11-24}}</ref> Hierbei werden sämtliche Arten von Organisationen (z. B. Handelsunternehmen, staatliche Organisationen, Non-Profitorganisationen) berücksichtigt. Die Norm wurde auch als [[DIN-Norm]] veröffentlicht und ist Teil der ''[[ISO/IEC 27000-Reihe|ISO/IEC 2700x-Familie]]''.
| |
|
| |
| Die Norm spezifiziert Anforderungen für die Implementierung von geeigneten Sicherheitsmechanismen, welche an die Gegebenheiten der einzelnen Organisationen adaptiert werden sollen. Der deutsche Anteil an diesem internationalen Normungsprojekt wird vom [[IT-Sicherheitsverfahren|DIN NIA-01-27 IT-Sicherheitsverfahren]] betreut.
| |
|
| |
| Die ISO/IEC 27001:2005 wurde entworfen, um die Auswahl geeigneter Sicherheitsmechanismen zum Schutz sämtlicher Werte (Assets) in den Wertschöpfungsketten (siehe Scope der ISO/IEC 27001, …organization's overall business risk) sicherzustellen.
| |
|
| |
| == Historische Entwicklung ==
| |
| Die ISO/IEC 27001:2005 ging aus dem zweiten Teil des britischen Standards [[BS 7799]]-2:2002 hervor. Sie wurde als internationale Norm erstmals am 15. Oktober 2005 veröffentlicht.
| |
|
| |
| Seit September 2008 liegt die Norm auch als [[DIN-Norm]] DIN ISO/IEC 27001:2008 in der deutschen Übersetzung vor. Die deutsche Ausgabe wird vom DIN NIA-01-27 ''IT-Sicherheitsverfahren'' betreut, der an der internationalen Normungsarbeit im zuständigen Komitee ''ISO/IEC JTC 1/SC 27'' mitwirkt.
| |
|
| |
| Am 25. September 2013 wurde die überarbeitete Version ''ISO/IEC 27001:2013'' in englischer Sprache veröffentlicht.
| |
|
| |
| Am 10. Januar 2014 wurde die überarbeitete Version ''DIN ISO/IEC 27001:2014'' als Entwurf in deutscher Sprache veröffentlicht.
| |
|
| |
| Im März 2015 wurde die überarbeitete Version ''DIN ISO/IEC 27001:2015'' in deutscher Sprache veröffentlicht.
| |
|
| |
| Seit Juni 2017 ist die aktuelle Version der ''DIN EN ISO/IEC 27001:2017'' in deutscher Sprache veröffentlicht.<ref>{{Internetquelle |url=https://www.beuth.de/de/norm/din-en-iso-iec-27001/269670716 |titel=DIN EN ISO/IEC 27001:2017-06 – Beuth.de |abruf=2017-11-21}}</ref>
| |
|
| |
| Am 25. Oktober 2022 wurde die überarbeitete Version ''ISO/IEC 27001:2022'' in englischer Sprache veröffentlicht.
| |
|
| |
| == Anwendung ==
| |
| Die ISO/IEC 27001 soll für verschiedene Bereiche anwendbar sein, insbesondere:
| |
|
| |
| * Zur Formulierung von Anforderungen und Zielsetzungen zur Informationssicherheit
| |
| * Zum kosteneffizienten Management von Sicherheitsrisiken
| |
| * Zur Sicherstellung der Konformität mit Gesetzen und Regulatorien
| |
| * Als Prozessrahmen für die Implementierung und das Management von Maßnahmen zur Sicherstellung von spezifischen Zielen zur Informationssicherheit
| |
| * Zur Definition von neuen Informationssicherheits-Managementprozessen
| |
| * Zur Identifikation und Definition von bestehenden Informationssicherheits-Managementprozessen
| |
| * Zur Definition von Informationssicherheits-Managementtätigkeiten
| |
| * Zum Gebrauch durch interne und externe Auditoren zur Feststellung des Umsetzungsgrades von Richtlinien und Standards
| |
|
| |
| == Zertifizierung ==
| |
| === Managementsysteme ===
| |
| Viele (Groß-)Firmen haben interne Sicherheitsrichtlinien für ihre IT. Durch eine interne Begutachtung (auch [[Audit]] genannt) können Unternehmen ihr korrektes Vorgehen im Abgleich mit ihren eigenen Vorgaben überprüfen. Unternehmen können damit allerdings ihre Kompetenzen im Bereich der IT-Sicherheit nicht öffentlichkeitswirksam gegenüber (möglichen) Kunden aufzeigen. Dazu ist eine [[Zertifizierung]] z. B. nach ''ISO/IEC 27001'', ''ISO/IEC 27001-Zertifikat auf Basis von [[IT-Grundschutz]]'' oder nach ''IT-Grundschutz''<ref>{{Internetquelle |url=https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/IT-Grundschutz/Zertifizierte-Informationssicherheit:zertifizierte-informationssicherheit_node.html|titel=Zertifizierte Informationssicherheit|werk=www.bsi.bund.de |hrsg=Bundesamt für Informationssicherheit |datum=2021-06-10 |abruf=2022-02-28}}</ref> sinnvoll.
| |
|
| |
| Eine Organisation hat vielmehr drei Möglichkeiten, die Konformität zu einer Norm zu zeigen:
| |
| # sie kann ihre Konformität von sich aus verkünden,
| |
| # sie kann ihre Kunden bitten, die Konformität zu bestätigen, und
| |
| # ein unabhängiger externer Auditor kann die Konformität verifizieren.
| |
|
| |
| Die ISO selbst führt keine Zertifizierungen durch, sie gibt nur den Rahmen vor.
| |
|
| |
| === Personen ===
| |
| Es existieren verschiedene, meist modulare, Schemata zur Ausbildung und Zertifizierung von Personen im Bereich der [[ISO/IEC 27000-Reihe]]. Diese werden von unterschiedlichen Zertifizierungsunternehmen gestaltet, siehe [[Liste der IT-Zertifikate]].
| |
|
| |
| == Weblinks == | | == Weblinks == |
| # [https://www.iso.org/standard/73906.html Offizielle Seite der Veröffentlichung der ISO/IEC 27001:2018 (englisch)] | | # [https://www.iso.org/standard/73906.html Offizielle Seite der Veröffentlichung der ISO/IEC 27001:2018 (englisch)] |