www.wikidata.de-de.nina.az

ISO IEC 27001 Die internationale Norm Information technology Security techniques Information security management systems

ISO/IEC 27001

Die internationale Norm ISO/IEC 27001 Information technology – Security techniques – Information security management systems – Requirements spezifiziert die Anforderungen für Einrichtung, Umsetzung, Aufrechterhaltung und fortlaufende Verbesserung eines dokumentierten Informationssicherheits-Managementsystems unter Berücksichtigung des Kontexts einer Organisation. Darüber hinaus beinhaltet die Norm Anforderungen für die Beurteilung und Behandlung von Informationssicherheitsrisiken entsprechend den individuellen Bedürfnissen der Organisation. Hierbei werden sämtliche Arten von Organisationen (z. B. Handelsunternehmen, staatliche Organisationen, Non-Profitorganisationen) berücksichtigt. Die Norm wurde auch als DIN-Norm veröffentlicht und ist Teil der ISO/IEC 2700x-Familie.

ISO/IEC 27001
Bereich Informationstechnik
Titel Informationssicherheit, Cybersicherheit und Datenschutz - Informationssicherheitsmanagementsysteme - Anforderungen
Letzte Ausgabe 2022-10
Klassifikation 03.100.70, 35.030

Die Norm spezifiziert Anforderungen für die Implementierung von geeigneten Sicherheitsmechanismen, welche an die Gegebenheiten der einzelnen Organisationen adaptiert werden sollen. Der deutsche Anteil an diesem internationalen Normungsprojekt wird vom DIN NIA-01-27 IT-Sicherheitsverfahren betreut.

Die ISO/IEC 27001:2005 wurde entworfen, um die Auswahl geeigneter Sicherheitsmechanismen zum Schutz sämtlicher Werte (Assets) in den Wertschöpfungsketten (siehe Scope der ISO/IEC 27001, …organization's overall business risk) sicherzustellen.

Historische Entwicklung Bearbeiten

Die ISO/IEC 27001:2005 ging aus dem zweiten Teil des britischen Standards BS 7799-2:2002 hervor. Sie wurde als internationale Norm erstmals am 15. Oktober 2005 veröffentlicht.

Seit September 2008 liegt die Norm auch als DIN-Norm DIN ISO/IEC 27001:2008 in der deutschen Übersetzung vor. Die deutsche Ausgabe wird vom DIN NIA-01-27 IT-Sicherheitsverfahren betreut, der an der internationalen Normungsarbeit im zuständigen Komitee ISO/IEC JTC 1/SC 27 mitwirkt.

Am 25. September 2013 wurde die überarbeitete Version ISO/IEC 27001:2013 in englischer Sprache veröffentlicht.

Am 10. Januar 2014 wurde die überarbeitete Version DIN ISO/IEC 27001:2014 als Entwurf in deutscher Sprache veröffentlicht.

Im März 2015 wurde die überarbeitete Version DIN ISO/IEC 27001:2015 in deutscher Sprache veröffentlicht.

Seit Juni 2017 ist die aktuelle Version der DIN EN ISO/IEC 27001:2017 in deutscher Sprache veröffentlicht.

Am 25. Oktober 2022 wurde die überarbeitete Version ISO/IEC 27001:2022 in englischer Sprache veröffentlicht.

Anwendung Bearbeiten

Die ISO/IEC 27001 soll für verschiedene Bereiche anwendbar sein, insbesondere:

  • Zur Formulierung von Anforderungen und Zielsetzungen zur Informationssicherheit
  • Zum kosteneffizienten Management von Sicherheitsrisiken
  • Zur Sicherstellung der Konformität mit Gesetzen und Regulatorien
  • Als Prozessrahmen für die Implementierung und das Management von Maßnahmen zur Sicherstellung von spezifischen Zielen zur Informationssicherheit
  • Zur Definition von neuen Informationssicherheits-Managementprozessen
  • Zur Identifikation und Definition von bestehenden Informationssicherheits-Managementprozessen
  • Zur Definition von Informationssicherheits-Managementtätigkeiten
  • Zum Gebrauch durch interne und externe Auditoren zur Feststellung des Umsetzungsgrades von Richtlinien und Standards

Zertifizierung Bearbeiten

Managementsysteme Bearbeiten

Viele (Groß-)Firmen haben interne Sicherheitsrichtlinien für ihre IT. Durch eine interne Begutachtung (auch Audit genannt) können Unternehmen ihr korrektes Vorgehen im Abgleich mit ihren eigenen Vorgaben überprüfen. Unternehmen können damit allerdings ihre Kompetenzen im Bereich der IT-Sicherheit nicht öffentlichkeitswirksam gegenüber (möglichen) Kunden aufzeigen. Dazu ist eine Zertifizierung z. B. nach ISO/IEC 27001, ISO/IEC 27001-Zertifikat auf Basis von IT-Grundschutz oder nach IT-Grundschutz sinnvoll.

Eine Organisation hat vielmehr drei Möglichkeiten, die Konformität zu einer Norm zu zeigen:

  1. sie kann ihre Konformität von sich aus verkünden,
  2. sie kann ihre Kunden bitten, die Konformität zu bestätigen, und
  3. ein unabhängiger externer Auditor kann die Konformität verifizieren.

Die ISO selbst führt keine Zertifizierungen durch, sie gibt nur den Rahmen vor.

Personen Bearbeiten

Es existieren verschiedene, meist modulare, Schemata zur Ausbildung und Zertifizierung von Personen im Bereich der ISO/IEC 27000-Reihe. Diese werden von unterschiedlichen Zertifizierungsunternehmen gestaltet, siehe Liste der IT-Zertifikate.

Weblinks Bearbeiten

Einzelnachweise Bearbeiten

  1. ISO/IEC 27001:2022. In: iso.org. Abgerufen am 4. November 2022.
  2. DIN ISO/IEC 27001:2015-03 – Beuth.de. In: www.beuth.de. Abgerufen am 24. November 2016.
  3. The new version of ISO/IEC 27001:2013 is here. In: bsigroup.com. 25. September 2013, abgerufen am 1. Oktober 2013.
  4. DIN ISO/IEC 27001:2014-02 [NEU]. In: beuth.de. 10. Januar 2014, abgerufen am 15. November 2014.
  5. DIN ISO/IEC 27001:2015-03 [NEU]. In: beuth.de. Abgerufen am 26. März 2015.
  6. DIN EN ISO/IEC 27001:2017-06 – Beuth.de. Abgerufen am 21. November 2017.
  7. Zertifizierte Informationssicherheit. In: www.bsi.bund.de. Bundesamt für Informationssicherheit, 10. Juni 2021, abgerufen am 28. Februar 2022.
  8. Management system standards. In: iso.org. International Organization for Standardization, 2013, abgerufen am 27. September 2013.
wikipedia, wiki, deutsches, deutschland, buch, bücher, bibliothek artikel lesen, herunterladen kostenlos kostenloser herunterladen, MP3, Video, MP4, 3GP, JPG, JPEG, GIF, PNG, Bild, Musik, Lied, Film, Buch, Spiel, Spiele
Veröffentlichungsdatum:
Die internationale Norm ISO IEC 27001 Information technology Security techniques Information security management systems Requirements spezifiziert die Anforderungen fur Einrichtung Umsetzung Aufrechterhaltung und fortlaufende Verbesserung eines dokumentierten Informationssicherheits Managementsystems unter Berucksichtigung des Kontexts einer Organisation Daruber hinaus beinhaltet die Norm Anforderungen fur die Beurteilung und Behandlung von Informationssicherheitsrisiken entsprechend den individuellen Bedurfnissen der Organisation 2 Hierbei werden samtliche Arten von Organisationen z B Handelsunternehmen staatliche Organisationen Non Profitorganisationen berucksichtigt Die Norm wurde auch als DIN Norm veroffentlicht und ist Teil der ISO IEC 2700x Familie ISO IEC 27001Bereich InformationstechnikTitel Informationssicherheit Cybersicherheit und Datenschutz Informationssicherheitsmanagementsysteme AnforderungenLetzte Ausgabe 2022 10 1 Klassifikation 03 100 70 35 030Die Norm spezifiziert Anforderungen fur die Implementierung von geeigneten Sicherheitsmechanismen welche an die Gegebenheiten der einzelnen Organisationen adaptiert werden sollen Der deutsche Anteil an diesem internationalen Normungsprojekt wird vom DIN NIA 01 27 IT Sicherheitsverfahren betreut Die ISO IEC 27001 2005 wurde entworfen um die Auswahl geeigneter Sicherheitsmechanismen zum Schutz samtlicher Werte Assets in den Wertschopfungsketten siehe Scope der ISO IEC 27001 organization s overall business risk sicherzustellen Inhaltsverzeichnis 1 Historische Entwicklung 2 Anwendung 3 Zertifizierung 3 1 Managementsysteme 3 2 Personen 4 Weblinks 5 EinzelnachweiseHistorische Entwicklung BearbeitenDie ISO IEC 27001 2005 ging aus dem zweiten Teil des britischen Standards BS 7799 2 2002 hervor Sie wurde als internationale Norm erstmals am 15 Oktober 2005 veroffentlicht Seit September 2008 liegt die Norm auch als DIN Norm DIN ISO IEC 27001 2008 in der deutschen Ubersetzung vor Die deutsche Ausgabe wird vom DIN NIA 01 27 IT Sicherheitsverfahren betreut der an der internationalen Normungsarbeit im zustandigen Komitee ISO IEC JTC 1 SC 27 mitwirkt Am 25 September 2013 wurde die uberarbeitete Version ISO IEC 27001 2013 in englischer Sprache veroffentlicht 3 Am 10 Januar 2014 wurde die uberarbeitete Version DIN ISO IEC 27001 2014 als Entwurf in deutscher Sprache veroffentlicht 4 Im Marz 2015 wurde die uberarbeitete Version DIN ISO IEC 27001 2015 in deutscher Sprache veroffentlicht 5 Seit Juni 2017 ist die aktuelle Version der DIN EN ISO IEC 27001 2017 in deutscher Sprache veroffentlicht 6 Am 25 Oktober 2022 wurde die uberarbeitete Version ISO IEC 27001 2022 in englischer Sprache veroffentlicht Anwendung BearbeitenDie ISO IEC 27001 soll fur verschiedene Bereiche anwendbar sein insbesondere Zur Formulierung von Anforderungen und Zielsetzungen zur Informationssicherheit Zum kosteneffizienten Management von Sicherheitsrisiken Zur Sicherstellung der Konformitat mit Gesetzen und Regulatorien Als Prozessrahmen fur die Implementierung und das Management von Massnahmen zur Sicherstellung von spezifischen Zielen zur Informationssicherheit Zur Definition von neuen Informationssicherheits Managementprozessen Zur Identifikation und Definition von bestehenden Informationssicherheits Managementprozessen Zur Definition von Informationssicherheits Managementtatigkeiten Zum Gebrauch durch interne und externe Auditoren zur Feststellung des Umsetzungsgrades von Richtlinien und StandardsZertifizierung BearbeitenManagementsysteme Bearbeiten Viele Gross Firmen haben interne Sicherheitsrichtlinien fur ihre IT Durch eine interne Begutachtung auch Audit genannt konnen Unternehmen ihr korrektes Vorgehen im Abgleich mit ihren eigenen Vorgaben uberprufen Unternehmen konnen damit allerdings ihre Kompetenzen im Bereich der IT Sicherheit nicht offentlichkeitswirksam gegenuber moglichen Kunden aufzeigen Dazu ist eine Zertifizierung z B nach ISO IEC 27001 ISO IEC 27001 Zertifikat auf Basis von IT Grundschutz oder nach IT Grundschutz 7 sinnvoll Eine Organisation hat vielmehr drei Moglichkeiten die Konformitat zu einer Norm zu zeigen sie kann ihre Konformitat von sich aus verkunden sie kann ihre Kunden bitten die Konformitat zu bestatigen und ein unabhangiger externer Auditor kann die Konformitat verifizieren 8 Die ISO selbst fuhrt keine Zertifizierungen durch sie gibt nur den Rahmen vor Personen Bearbeiten Es existieren verschiedene meist modulare Schemata zur Ausbildung und Zertifizierung von Personen im Bereich der ISO IEC 27000 Reihe Diese werden von unterschiedlichen Zertifizierungsunternehmen gestaltet siehe Liste der IT Zertifikate Weblinks BearbeitenOffizielle Seite der Veroffentlichung der ISO IEC 27001 2018 englisch DIN Normenausschuss Informationstechnik und Anwendungen NA 043 01 27 AA IT Sicherheitsverfahren Ein Vergleich der Versionen ISO IEC 27001 2005 und 27001 2013Einzelnachweise Bearbeiten ISO IEC 27001 2022 In iso org Abgerufen am 4 November 2022 DIN ISO IEC 27001 2015 03 Beuth de In www beuth de Abgerufen am 24 November 2016 The new version of ISO IEC 27001 2013 is here In bsigroup com 25 September 2013 abgerufen am 1 Oktober 2013 DIN ISO IEC 27001 2014 02 NEU In beuth de 10 Januar 2014 abgerufen am 15 November 2014 DIN ISO IEC 27001 2015 03 NEU In beuth de Abgerufen am 26 Marz 2015 DIN EN ISO IEC 27001 2017 06 Beuth de Abgerufen am 21 November 2017 Zertifizierte Informationssicherheit In www bsi bund de Bundesamt fur Informationssicherheit 10 Juni 2021 abgerufen am 28 Februar 2022 Management system standards In iso org International Organization for Standardization 2013 abgerufen am 27 September 2013 Abgerufen von https de wikipedia org w index php title ISO IEC 27001 amp oldid 230573314