ISO 17799

ISO 17799
Logo des Deutschen Instituts für Normung DIN ISO/IEC 27002
Bereich Informationstechnik
Regelt IT-Sicherheitsverfahren - Leitfaden für das Informationssicherheits-Management
Kurzbeschreibung
Letzte Ausgabe 9.2008
ISO ISO/IEC 27002

Die ISO/IEC 27002 (bis Mitte 2007: ISO/IEC 17799) baut inhaltlich auf dem British Standard Nr. 7799, Teil 1 (BS 7799-1:1999) auf. Sie ist ein internationaler Standard, der diverse Kontrollmechanismen für die Informationssicherheit beinhaltet. Der deutsche Anteil an dieser internationalen Normungsarbeit des ISO/IEC JTC 1/SC 27 Information Technology - Security Techniques wird vom DIN NIA-01-27 IT-Sicherheitsverfahren betreut.

Im Zuge der Überarbeitung der ISO/IEC 17799:2000 wurden jeweils neue Hauptkategorien und Sicherheitsmaßnahmen hinzugefügt. Der Standard wurde im Zuge dieser Überarbeitung auch bzgl. seines Aufbaus geringfügig umstrukturiert, d.h. es wurde u.a. ein neuer Überwachungsbereich geschaffen (Information security incident management - Umgang mit Sicherheitsvorfällen), der auf in einem bis dahin in einem anderen Kapitel sich befindenden Inhalten herum aufgebaut wurde.

Grundlage für die Standardisierung war hierbei eine Sammlung von Erfahrungen, Verfahren und Methoden aus der Praxis, also ähnlich ITIL um einen „Best practice“ Ansatz zu erreichen. Diese Sammlung erschien als Ergebnis der Bemühungen einer ab Januar 1993 tätigen Industriearbeitsgruppe im September 1993 als DTI Code of Practice. Diese Praxisleitlinie war die Basis zur Erstellung des BS 7799.

Eine Zertifizierung nach ISO/IEC 27002 ist grundsätzlich nicht möglich, da es sich bei der Norm um eine Sammlung von Vorschlägen („sollte“, im Englischen: „should“) und nicht Forderungen („muss“, im Englischen: „shall“) handelt. Soll ein Informationssicherheitsmanagementsystem zertifiziert werden, ist dies nur über die Erfüllung der Anforderungen nach ISO/IEC 27001 möglich.

Inhaltsverzeichnis

Wie ist dieser Standard entstanden?

Im Februar 1995 veröffentlichte das BSi (British Standards Institution) mit dem BS 7799-1:1995 den ersten Standard im Bereich der Informationssicherheit, um die Sicherheitsaspekte in Zusammenhang mit dem aufkommenden E-Commerce zu adressieren. Allerdings war die Durchdringung aufgrund einiger aktueller Probleme wie die bevorstehende Y2K Problematik eher gering. Das änderte sich auch nicht mit der Ausgabe des zweiten Standards BS 7799-2:1998 im Februar 1998, der die Anforderungen an ein Sicherheitsmanagementsystem beschreibt. Es änderte sich erst, als das BSi im April 1999 eine komplett überarbeitete Version beider Standards vorlegte (BS 7799-1:1999 und BS 7799-2:1999) und somit erneut das Interesse der ISO weckte. Die ISO übernahm die BS 7799-1:1999 mit unverändertem Inhalt als Standard an und veröffentlichte diesen im Jahr 2000 unter der Bezeichnung ISO/IEC 17799:2000. Noch im Jahr 2007 wurde der Standard in ISO/IEC 27002 umbenannt und damit auch namentlich in die Familie ISO 27000 et seq. aufgenommen. Mit Ausgabe 9.2008 liegt die Norm auch als DIN-Norm DIN ISO/IEC 27002 vor. Die Normenfamilie behandelt verschiedene Ebenen von Informationssicherheit Management Systemen (ISMS).

Was sind die Inhalte?

Die ISO/IEC 27002:2005 befasst sich mit den folgenden 11 Überwachungsbereichen:

  1. Information Security Policy – Weisungen und Richtlinien zur Informationssicherheit
  2. Organization of information security – Organisatorische Sicherheitsmaßnahmen und Managementprozess
  3. Asset management – Verantwortung und Klassifizierung von Informationswerten
  4. Human resources security – Personelle Sicherheit
  5. Physical and Environmental Security – Physische Sicherheit und öffentliche Versorgungsdienste
  6. Communications and Operations Management – Netzwerk- und Betriebssicherheit (Daten und Telefonie)
  7. Access Control – Zugriffskontrolle
  8. Information systems acquisition, development and maintenance – Systementwicklung und Wartung
  9. Information security incident management - Umgang mit Sicherheitsvorfällen
  10. Business Continuity Management – Notfallvorsorgeplanung
  11. Compliance – Einhaltung rechtlicher Vorgaben, der Sicherheitsrichtlinien und Überprüfungen durch Audits

Diese 11 Überwachungsbereiche untergliedern sich in 39 Hauptkategorien, sogenannte Kontrollziele. Diese sind mit insgesamt 133 Sicherheitsmaßnahmen untersetzt, deren Anwendung die Erreichung der Kontrollziele unterstützt.

Bezugsquellen

Die ISO-Normen sind kostenpflichtig über ISO oder Beuth Verlag zu beziehen.

Siehe auch

Weblinks


Wikimedia Foundation.

Игры ⚽ Поможем сделать НИР

Schlagen Sie auch in anderen Wörterbüchern nach:

  • ISO 17799 — ISO/CEI 17799 La norme ISO/CEI 17799 est une norme internationale concernant la sécurité de l information, publiée en décembre 2000 par l ISO dont le titre est Code de bonnes pratiques pour la gestion de la sécurité d information. La deuxième… …   Wikipédia en Français

  • Iso 17799 — ISO/CEI 17799 La norme ISO/CEI 17799 est une norme internationale concernant la sécurité de l information, publiée en décembre 2000 par l ISO dont le titre est Code de bonnes pratiques pour la gestion de la sécurité d information. La deuxième… …   Wikipédia en Français

  • ISO 17799 — ● np. f. ►NORM►SECU Autre nom de BS7799, depuis que ce standard a été officiellement adopté par l ISO …   Dictionnaire d'informatique francophone

  • ISO/IEC 27002 — part of a growing family of ISO/IEC ISMS standards, the ISO/IEC 27000 series is an information security standard published by the International Organization for Standardization (ISO) and the International Electrotechnical Commission (IEC) as… …   Wikipedia

  • ISO/IEC 27001 — ISO 27001  международный стандарт по информационной безопасности разработанный совместно (ISO) и Международной Электротехнической Комиссии (IEC). Подготовлен к выпуску подкомитетом SC27 Обьединенного Технического Коммитета JTC 1. Стандарт… …   Википедия

  • ISO/IEC 27001 — ISO/IEC 27001, part of the growing ISO/IEC 27000 series of standards, is an information security management system (ISMS) standard published in October 2005 by the International Organization for Standardization (ISO) and the International… …   Wikipedia

  • ISO 27799 — is an information security standard developed by the International Organization for Standardization (ISO). Its title is Health informatics Information security management in health using ISO/IEC 27002 The purpose of ISO 27799 is provides guidance …   Wikipedia

  • ISO/IEC 27002 — стандарт информационной безопасности, опубликованный организациями ISO и IEC. Он озаглавлен Информационные технологии Технологии безопасности Практические правила менеджмента информационной безопасности (англ. Information technology Security… …   Википедия

  • ISO/IEC 17799 — Se ha sugerido que este artículo sea renombrado como ISO 27002 . Motivo: La norma se ha actualizado y su denominación ISO/IEC 17799 ya no está vigente. Es necesario mantener la Wikipedia actualizada, no tendría porque tener información obsoleta… …   Wikipedia Español

  • ISO/CEI 27002 — Suite ISO/CEI 27000 ISO/CEI 27000:2009 ISO/CEI 27001:2005 ISO/CEI 27002:2005 ISO/CEI 27003:2010 ISO/CEI 27004:2009 ISO/CEI 27005:2011 …   Wikipédia en Français

Share the article and excerpts

Direct link
Do a right-click on the link above
and select “Copy Link”