Definition

ISO 27001

ISO 27001 (formal bekannt als ISO/IEC 27001:2005) ist eine Spezifikation für ein Informationssicherheitsmanagementsystem (ISMS). Ein ISMS ist ein Rahmen von Richtlinien und Verfahren, der alle rechtlichen, physischen und technischen Kontrollen umfasst, die an den Prozessen des Informationsrisikomanagements einer Organisation beteiligt sind.

Gemäß ihrer Dokumentation wurde die ISO 27001 entwickelt, um „ein Modell für die Einrichtung, Implementierung, den Betrieb, die Überwachung, die Überprüfung, die Wartung und die Verbesserung eines Informationssicherheitsmanagementsystems bereitzustellen“.

ISO 27001 verwendet einen risikobasierten Top-Down-Ansatz und ist technologieneutral. Die Spezifikation definiert einen sechsteiligen Planungsprozess:

1. Definieren Sie eine Sicherheitsrichtlinie.

2. Definieren Sie den Umfang des ISMS.

3. Führen Sie eine Risikobewertung durch.

4. Verwalten Sie identifizierte Risiken.

5. Wählen Sie die Kontrollziele und Kontrollen aus, die implementiert werden sollen.

6. Bereiten Sie eine Erklärung über die Anwendbarkeit vor.

Die Spezifikation enthält Einzelheiten zu Dokumentation, Managementverantwortung, internen Audits, kontinuierlicher Verbesserung sowie Korrektur- und Vorbeugemaßnahmen. Die Norm verlangt die Zusammenarbeit zwischen allen Bereichen einer Organisation.

Die ISO 27001 schreibt keine spezifischen Kontrollen der Informationssicherheit vor, aber sie enthält eine Checkliste von Kontrollen, die im beigefügten Verhaltenskodex ISO/IEC 27002:2005 berücksichtigt werden sollten. Diese zweite Norm beschreibt einen umfassenden Satz von Zielen der Informationssicherheitskontrolle und eine Reihe von allgemein anerkannten, bewährten Sicherheitskontrollen.

ISO 27002 enthält 12 Hauptabschnitte:

1. Risikobeurteilung

2. Sicherheitsrichtlinien

3. Die Organisation der Informationssicherheit

4. Vermögensverwaltung

5. Personalsicherheit

6. Physische und ökologische Sicherheit

7. Kommunikations- und Betriebsmanagement

8. Zutrittskontrolle

9. Erwerb, Entwicklung und Wartung von Informationssystemen

10. Informationssicherheit Vorfallmanagement

11. Business Continuity Management

12. Compliance

Unternehmen sind verpflichtet, diese Kontrollen entsprechend ihren spezifischen Risiken angemessen anzuwenden. Für die Konformität mit ISO 27001 wird eine von einem Drittanbieter akkreditierte Zertifizierung empfohlen.

Weitere Normen, die in der 27000er Familie entwickelt werden, sind:

27003 - Implementierungsanleitung.

27004 - ein Messstandard für das Informationssicherheitsmanagement, der Metriken vorschlägt, um die Effektivität eines ISMS zu verbessern.

27005 - ein Standard für das Risikomanagement im Bereich der Informationssicherheit. (Veröffentlicht in 2008)

27006 - ein Leitfaden für den Zertifizierungs- oder Registrierungsprozess für akkreditierte ISMS-Zertifizierungs- oder Registrierungsstellen. (Veröffentlicht in 2007)

27007 - ISMS-Audit-Leitfaden.

Diese Definition wurde zuletzt im November 2019 aktualisiert

Erfahren Sie mehr über IT-Sicherheits-Management