- BS7799
-
BS 7799-1 (BS="British Standard") definiert einen "Code of practice" für Netzwerksicherheits-Management. Die Variante BS 7799-1:1999 wurde von der ISO als ISO 17799 übernommen.
Die BS 7799-2:2002 (vollständige Bezeichnung: BS 7799-2:2002 (Information security management systems - Specification with guidance for use)) stellt die Spezifikation für ein Informations-Sicherheits-Management-System (ISMS) dar. Dieses Management-System fügt sich in eine Reihe anderer, internationaler Management-Systeme (ISO 9001, ISO 14001, ISO 20000) ein. Der Standard wurde im Jahr 2005 als ISO 27001 international genormt.
Inhaltsverzeichnis
Was ist das Ziel?
Der BS 7799 wurde mit dem Ziel veröffentlicht, Führungskräften und Mitarbeitern eines Unternehmens ein Modell zur Verfügung zu stellen, das die Einführung und den Betrieb eines effektiven ISMS erlaubt. Die Einführung eines ISMS stellt eine wesentliche strategische Entscheidung dar, die durch die Unternehmensstrategie und die Geschäftsziele des Unternehmens beeinflusst wird. Der BS 7799 wird zur Prüfung der Organisation verwendet. Dies beinhaltet ebenfalls die Anwendung durch akkreditierte Zertifizierungsunternehmen.
Die Entstehungsgeschichte des BS 7799
1992 hat das britische Department of Trade and Industry (DTI) eine Kommission ins Leben gerufen, die die akzeptierten Best Practices im Bereich der Informationssicherheit evaluieren sollte. Die Ergebnisse wurden 1993 als „Code of Practice“ veröffentlicht. Dieser wurde 1995 vom British Standard Institute adaptiert und als BS 7799:1995 veröffentlicht. Diese Version des Standards fand jedoch keine weite Verbreitung, was primär auf seine geringe Flexibilität zurückzuführen ist. 1998 wurde der Standard grundlegend überarbeitet und erneut veröffentlicht. Erst 1999 wurde er in zwei Teile aufgeteilt. Nun existierte eine Spezifikation, gegen die eine Prüfung stattfinden konnte. Im Jahr 2000 adaptierte die International Organization for Standardization (ISO) den Teil 1 zu ISO 17799:2000. Zwei Jahre später gab es erneut signifikante Veränderungen an Teil 2, unter anderem die Einführung des Plan-Do-Check-Act-Konzepts (PDCA), woraus Version BS 7799-2:2002 resultierte.
Die Weiterentwicklung des BS 7799 ist die internationale Norm ISO/IEC 27001, welche seit dem Jahr 2005 eine international gültige Zertifizierungsgrundlage darstellt.
Die Struktur des BS 7799
0. Einleitung
0.1. Allgemein
0.2. Prozessansatz
0.3. Vereinbarkeit mit anderen Managementsystemen
1. Umfang
1.1 Allgemein
1.2. Anwendung
2. Normative Referenzen
3. Begriffsdefinitionen
4. Anforderungen an ein Informationssicherheitsmanagementsystem (ISMS)
4.1. Allgemeine Anforderungen
4.2. Einführung und Leitung des ISMS
4.3. Dokumentationsanforderungen
5. Verantwortung der Leitung
5.1. Verpflichtungen der Leitung
6. Managementbeurteilung des ISMS
6.1 Allgemein
6.2. Beurteilungsvorgaben
6.3. Beurteilungsergebnisse
6.4. Interne ISMS Audits
7. ISMS Verbesserung
7.1. Kontinuierliche Verbesserung
7.2. Korrigierende Maßnahmen
7.3. Vorbeugende Maßnahmen
Das Managementsystem des BS 7799
Die Kapitel 4 bis Kapitel 7 enthalten die organisatorischen Rahmenbedingungen für die Einführung und den Betrieb des Informations Sicherheits Management Systems. Dies sind im Wesentlichen:
- Interne Revision
- Überprüfung durch das Management
- Dokumentenlenkung
- Risikomanagement
Der Anhang A des BS 7799
Der Anhang A des BS 7799 stellt eine Liste von Kontrollen bereit, die in sowohl technische, als auch organisatorische Maßnahmen unterteilt sind. Diese Liste der Kontrollen ist in ISO17799 in einem stärkeren Detaillierungsgrad enthalten. Die Kapitel 3 bis 12 des ISO 17799-2000 entsprechen den Kapitel A.3. bis A.12 des BS 7799-2:2002.
Zertifizierung
Eine Zertifizierung der Informationssicherheit ist grundsätzlich nur nach BS 7799-2:2002 möglich. Eine Zertifizierung nach ISO 17799 ist grundsätzlich nicht im Rahmen einer qualifizierten Zertifizierung möglich. Eine Zertifizierung ist dann qualifiziert, wenn sie durch eine Gesellschaft ausgeführt wird, die unter der Aufsicht einer Akkreditierungsgesellschaft, wie UKAS (UK) oder TGA (Deutschland) steht. Im Falle einer BS 7799-Zertifizierung ist ein Zertifikat drei Jahre gültig. Ein Zwischenaudit (Surveillance Audit) erfolgt im Abstand von sechs Monaten. Eine vollständige Neuzertifizierung erfolgt nach drei Jahren.
Siehe auch
Bitte beachte den Hinweis zu Rechtsthemen!
Wikimedia Foundation.