ISO 27001

Die internationale Norm ISO/IEC 27001 Information technology – Security techniques – Information security management systems – Requirements spezifiziert die Anforderungen für Einrichtung, Umsetzung, Aufrechterhaltung und fortlaufende Verbesserung eines dokumentierten Informationssicherheits-Managementsystems unter Berücksichtigung des Kontexts einer Organisation. Darüber hinaus beinhaltet die Norm Anforderungen für die Beurteilung und Behandlung von Informationssicherheitsrisiken entsprechend den individuellen Bedürfnissen der Organisation[1]. Hierbei werden sämtliche Arten von Organisationen (z. B. Handelsunternehmen, staatliche Organisationen, Non-Profitorganisationen) berücksichtigt. Die Norm wurde auch als DIN-Norm veröffentlicht und ist Teil der ISO/IEC 2700x-Familie.

Die Norm spezifiziert Anforderungen für die Implementierung von geeigneten Sicherheitsmechanismen, welche an die Gegebenheiten der einzelnen Organisationen adaptiert werden sollen. Der deutsche Anteil an diesem internationalen Normungsprojekt wird vom DIN NIA-01-27 IT-Sicherheitsverfahren betreut.

Die ISO/IEC 27001:2005 wurde entworfen, um die Auswahl geeigneter Sicherheitsmechanismen zum Schutz sämtlicher Werte (Assets) in den Wertschöpfungsketten (siehe Scope der ISO/IEC 27001, …organization’s overall business risk) sicherzustellen.

Historische Entwicklung

Die ISO/IEC 27001:2005 ging aus dem zweiten Teil des britischen Standards BS 7799-2:2002 hervor. Sie wurde als internationale Norm erstmals am 15. Oktober 2005 veröffentlicht.

Seit September 2008 liegt die Norm auch als DIN-Norm DIN ISO/IEC 27001:2008 in der deutschen Übersetzung vor. Die deutsche Ausgabe wird vom DIN NIA-01-27 IT-Sicherheitsverfahren betreut, der an der internationalen Normungsarbeit im zuständigen Komitee ISO/IEC JTC 1/SC 27 mitwirkt. Zurzeit gültige Ausgabe: 2015-03.

Am 25. September 2013 wurde die überarbeitete Version ISO/IEC 27001:2013 in englischer Sprache veröffentlicht.[2]

Am 10. Januar 2014 wurde die überarbeitete Version DIN ISO/IEC 27001:2014 als Entwurf in deutscher Sprache veröffentlicht.[3]

Seit März 2015 ist die finale Version der DIN ISO/IEC 27001:2015 in deutscher Sprache veröffentlicht.[4]

Anwendung

Die ISO/IEC 27001 soll für verschiedene Bereiche anwendbar sein, insbesondere:

  • Zur Formulierung von Anforderungen und Zielsetzungen zur Informationssicherheit
  • Zum kosteneffizienten Management von Sicherheitsrisiken
  • Zur Sicherstellung der Konformität mit Gesetzen und Regulatorien
  • Als Prozessrahmen für die Implementierung und das Management von Maßnahmen zur Sicherstellung von spezifischen Zielen zur Informationssicherheit
  • Zur Definition von neuen Informationssicherheits-Managementprozessen
  • Zur Identifikation und Definition von bestehenden Informationssicherheits-Managementprozessen
  • Zur Definition von Informationssicherheits-Managementtätigkeiten
  • Zum Gebrauch durch interne und externe Auditoren zur Feststellung des Umsetzungsgrades von Richtlinien und Standards

Zertifizierung

Managementsysteme

Viele (Groß-)Firmen haben interne Sicherheitsrichtlinien für ihre IT. Durch eine interne Begutachtung (auch Audit genannt) können Unternehmen ihr korrektes Vorgehen im Abgleich mit ihren eigenen Vorgaben überprüfen. Unternehmen können damit allerdings ihre Kompetenzen im Bereich der IT-Sicherheit nicht öffentlichkeitswirksam gegenüber (möglichen) Kunden aufzeigen. Dazu ist eine Zertifizierung z.B. nach ISO/IEC 27001, ISO/IEC 27001-Zertifikat auf Basis von IT-Grundschutz oder nach IT-Grundschutz [5] sinnvoll.

Es ist zu beachten, dass die ISO selbst keine Zertifizierungen durchführt. Eine Organisation hat vielmehr drei Möglichkeiten, die Konformität zu einer Norm zu zeigen:

  1. sie kann ihre Konformität von sich aus verkünden,
  2. sie kann ihre Kunden bitten, die Konformität zu bestätigen, und
  3. ein unabhängiger externer Auditor kann die Konformität verifizieren.[6]

Personen

Es existieren verschiedene, meist modulare, Schemata zur Ausbildung und Zertifizierung von Personen im Bereich der ISO/IEC 27000-Reihe. Diese werden von unterschiedlichen Zertifizierungsunternehmen gestaltet, siehe Liste der IT-Zertifikate.

Kosten

Die Kosten einer ISO-27001-Zertifizierung teilen sich im Wesentlichen in drei Teile:

  1. Interne Kosten, also Kosten für interne Mitarbeiter zur Aufrechterhaltung eines ISMS und zur Erstellung und Aktualisierung von notwendiger Dokumentation
  2. Externe Kosten, also Kosten für externe Unterstützung durch spezialisierte Beratungsunternehmen
  3. Audit-Kosten, also Kosten die vom Zertifizierungsunternehmen in Rechnung gestellt werden.

Die Gesamtkosten orientieren sich daher am bereits vorhanden Stand des Information Security Managements in der Organisation (was wurde bereits umgesetzt und dokumentiert?) und dem Umfang der in Anspruch genommenen externen Kosten. Die Audit-Kosten hängen vom Tagessatz des Zertifizierungsinstituts ab; der Umfang der Audit-Tage ist in der entsprechenden ISO-Norm geregelt und orientiert sich an der Größe der zu auditierenden Organisation sowie ihrer Komplexität.

Nutzen

Eine ISO-27001-Zertifizierung ist eine Investition und bindet daher Ressourcen. Auf der anderen Seite bietet eine Zertifizierung auch nachweisbaren Nutzen durch folgende Punkte:

  • Senkung der Prozesskosten
  • Senkung der Finanzierungskosten
  • Senkung der Versicherungsbeiträge
  • Senkung von Geschäfts- und Haftungsrisiken
  • Steigerung der Wettbewerbsfähigkeit
  • Stärkung der Images in der Öffentlichkeit und bei Geschäftspartnern

Weblinks

Einzelnachweise

  1. Hochspringen DIN ISO/IEC 27001:2015-03 – Beuth.de. In: www.beuth.de. Abgerufen am 24. November 2016. 
  2. Hochspringen The new version of ISO/IEC 27001:2013 is here. In: bsigroup.com. 25. September 2013, abgerufen am 1. Oktober 2013. 
  3. Hochspringen DIN ISO/IEC 27001:2014-02 [NEU]. In: beuth.de. 10. Januar 2014, abgerufen am 15. November 2014. 
  4. Hochspringen DIN ISO/IEC 27001:2015-03 [NEU]. In: beuth.de. Abgerufen am 26. März 2015. 
  5. Hochspringen Zertifizierung nach BSI-IT-Grundschutz. In: www.bsi.bund.de. Bundesamt für Informationssicherheit, 5. August 2016, abgerufen am 5. August 2016. 
  6. Hochspringen Management system standards. In: iso.org. International Organization for Standardization, 2013, abgerufen am 27. September 2013.

Quelle Wikipedia

Download:  ISO 27001

Zuordnungstabelle ISO 27001 sowie ISO 27002 und IT-Grundschutz IT-Grundschutz beschreibt mit Hilfe der BSI-Standards 100-1, 100-2 und 100-3 eine Vorgehensweise zum Aufbau und zur Aufrechterhaltung eines Managementsystems für Informationssicherheit (ISMS). Die IT-Grundschutz-Kataloge beschreiben die Umsetzung der damit einhergehenden Maßnahmenziele und Maßnahmen. Das damit aufgebaute ISMS erfüllt die Anforderungen der ISO 27001 und verfügt über ein Äquivalent zu den Handlungsempfehlungen der ISO 27002. Diese Gegenüberstellung dient der Zuordnung der Inhalte der beiden Revisionen der beiden ISO-Normen von 2013 und 2005 zu den Inhalten von IT-Grundschutz. So wird die Abdeckung der ISO 27001 durch den IT-Grundschutz deutlicher und eine komplementäre Anwendung von IT-Grundschutz zu der Anwendung der ISO Normen wird erleichtert. Diese Gegenüberstellung basiert auf den folgenden Versionen der betrachteten Werke:  BSI-Standard 100-1, Version 1.5 vom Mai 2008  BSI-Standard 100-2, Version 2.0 vom Mai 2008  BSI-Standard 100-3, Version 2.5 vom Mai 2008  Ergänzung zum BSI-Standard 100-3, Version 2.5 vom 3. August 2011  BSI-Standard 100-4, Version 1.0 vom Dezember 2008  IT-Grundschutz-Kataloge, 15. Ergänzungslieferung  ISO/IEC 27001:2013 + Cor. 1:2014 und ISO/IEC 27002:2013 + Cor. 1:2014  ISO/IEC 27001:2005 und ISO/IEC 27002:2005 Für Themen, die in einem der BSI-Standards behandelt werden, wird das Kapitel des entsprechenden BSI-Standards angegeben. Das Kürzel „B“ weist auf den entsprechenden Baustein und „M“ auf eine Maßnahme in den IT-Grundschutz-Katalogen hin. Wenn ein Thema aus den ISO-Standards 27001 bzw. 27002 in mehreren Bereichen im IT-Grundschutz behandelt wird, wird der primär relevante Bereich fett markiert. Die Abschnitte dieses Dokuments, die sich auf die Maßnahmenziele und Maßnahmen des normativen Anhangs A der ISO 27001 und auf die Empfehlungen der ISO 27002 beziehen, folgen aus Gründen der Übersichtlichkeit der Gliederung und den Bezeichnungen der ISO 27002. Es werden ausschließlich die Teile der ISO 27002 aufgeführt, die einen Bezug zum Anhang A der ISO 27001 haben. Eine tabellarische Gegenüberstellung der beiden Revisionen 2013 und 2005 der ISO 27001 und der ISO 27002 enthält das frei verfügbare Dokument „JTC 1/SC 27/SD3 – Mapping Old-New Editions of ISO/IEC 27001 and ISO/IEC 27002“ der ISO/IEC-Organisation (ISO/IEC JTC 1/SC 27).