ISO 27001

ISO 27001
Logo des Deutschen Instituts für Normung DIN ISO/IEC 27001
Bereich Informationstechnik
Regelt IT-Sicherheitsverfahren - Informationssicherheits-Managementsysteme - Anforderungen
Kurzbeschreibung
Letzte Ausgabe 9.2008
ISO ISO/IEC 27001

Die internationale Norm ISO/IEC 27001 Information technology – Security techniques – Information security management systems – Requirements spezifiziert die Anforderungen für Herstellung, Einführung, Betrieb, Überwachung, Wartung, und Verbesserung eines dokumentierten Informationssicherheits-Managementsystems unter Berücksichtigung der Risiken innerhalb der gesamten Organisation. Hierbei werden sämtliche Arten von Organisationen (z. B. Handelsunternehmen, staatliche Organisationen, Non-Profitorganisationen) berücksichtigt.

Die Norm spezifiziert Anforderungen für die Implementierung von geeigneten Sicherheitsmechanismen, welche an die Gegebenheiten der einzelnen Organisationen adaptiert werden sollen. Der deutsche Anteil an diesem internationalen Normungsprojekt wird vom DIN NIA-01-27 IT-Sicherheitsverfahren betreut.

Die ISO/IEC 27001:2005 wurde entworfen, um die Auswahl geeigneter Sicherheitsmechanismen zum Schutz sämtlicher Werte (Assets) in der Wertschöpfungskette (siehe Scope der ISO/IEC 27001, ...organization's overall business risk) sicherzustellen.

Inhaltsverzeichnis

Entwicklung

Die ISO/IEC 27001:2005 wurde aus dem britischen Standard BS 7799-2:2002 entwickelt und als internationale Norm erstmals am 15. Oktober 2005 veröffentlicht.

Mit Ausgabe 9.2008 liegt die Norm auch als DIN-Norm DIN ISO/IEC 27001 vor. Die deutsche Ausgabe wird vom DIN NIA-01-27 IT-Sicherheitsverfahren betreut, der an der internationalen Normungsarbeit im zuständigen Komitee ISO/IEC JTC 1/SC 27 mitwirkt.

Anwendung

Die ISO/IEC 27001:2005 soll für verschiedene Bereiche anwendbar sein, insbesondere:

  • Zur Formulierung von Anforderungen und Zielsetzungen zur Informationssicherheit
  • Zum kosteneffizienten Management von Sicherheitsrisiken
  • Zur Sicherstellung der Konformität mit Gesetzen und Regulatorien
  • Als Prozessrahmen für die Implementierung und das Management von Maßnahmen zur Sicherstellung von spezifischen Zielen zur Informationssicherheit
  • Zur Definition von neuen Informationssicherheits-Managementprozessen
  • Zur Identifikation und Definition von bestehenden Informationssicherheits-Managementprozessen
  • Zur Definition von Informationssicherheits-Managementtätigkeiten
  • Zum Gebrauch durch interne und externen Auditoren zur Feststellung des Umsetzungsgrades von Richtlinien und Standards

Weitere Normen der ISO 27000 Reihe

  • ISO 27000 wird Begriffe und Definitionen enthalten, welche in der Normenserie ISO 27000 verwendet werden.
  • ISO/IEC 27002 enthält den Inhalt der ISO 17799:2005.
    Am 15. Juni 2005 wurde der Leitfaden ISO/IEC 17799:2005 Information technology – Security techniques – Code of practice for information security management veröffentlicht, der auf BS 7799-1 fußt. Bezugnehmend auf ISO/IEC JTC 1/SC 27 N5981 Secretariat ISO/IEC JTC 1/SC 27 - Deutsches Institut für Normung e.V. ist der Standard seit Sommer 2007 von ISO/IEC 17799:2005 in ISO/IEC 27002:2005 neu nummeriert worden.
  • ISO/IEC 27003 soll einen Leitfaden zur Umsetzung der ISO 27001-2 enthalten.
  • ISO FCD 27004 hat den Arbeitstitel "Information Security Management Measurement" (Entwurf 12-06-2008 verfügbar).
  • ISO FCD 27005 ist an den BS 7799-3:2006 angelehnt und behandelt das Thema IS Risikomanagement. (In Kraft getreten seit 6.2008)
  • ISO/IEC 27006 Information technology - Security techniques - Requirements for bodies providing audit and certification of information security management systems (in Kraft getreten am 1. März 2007) regelt die Kriterien, nach denen Stellen arbeiten müssen, die Informationssicherheits- und Managementsysteme nach ISO 27001 auditieren und zertifizieren wollen.
  • ISO/IEC 27007 Auditoren-Richtlinien (derzeit Studienperiode).

Fachspezifische Subnormen der ISO/IEC 27002 sind in Ausarbeitung als ISO/IEC 27010 bis ISO/IEC 27019:

  • ISO/IEC 27011: IS Management Guidelines for Telecommunications, z.ZT. im Working Draft.
  • ISO/IEC 27012: Guidelines for Finance
  • ISO/IEC 27013: Guidelines for Manufacturing
  • ISO/IEC 27015: Accreditation Guidelines
  • ISO/IEC 27016: Auditing and Reviews

Weiterhin ist vorgesehen, dass in ISO/IEC 27030 bis ISO/IEC 27044 die technischen Gebiete der Informationssicherheit abgedeckt werden sollen, z.B. cyber security, intrusion detection und trusted third party authentication.

  • ISO/IEC 27031 business continuity
  • ISO/IEC 27032 Guidelines for Cybersecurity (Vorschlag)
  • ISO/IEC 27033 Revision von ISO 18028 und umfasst sieben Unterteile:
    • ISO/IEC 27033-1 Guidelines for network security
    • ISO/IEC 27033-2 Guidelines for the design and implementation of network
    • ISO/IEC 27033-3 Risks, design, technologies and control issues
    • ISO/IEC 27033-4 Risks, design techniques and control issues
    • ISO/IEC 27033-5 Risks, design techniques and control issues
    • ISO/IEC 27033-6 Securing communications across networks using Virtual Private Networks
    • ISO/IEC 27033-7 Guidelines for the design and implementation of network security
  • ISO/IEC 27034 Guidelines for application security

Siehe auch

Weblinks


Wikimedia Foundation.

Игры ⚽ Поможем написать реферат

Schlagen Sie auch in anderen Wörterbüchern nach:

  • ISO 27001 — ISO/CEI 27001 Suite ISO/CEI 27000 ISO/CEI 27000 (en préparation) ISO/CEI 27001:2005 ISO/CEI 27002:2005 ISO/CEI 27003 (en préparation) ISO/CEI 27004 (en préparation) …   Wikipédia en Français

  • ISO 27001 Lead Implementer — The ISO 27001 Lead Implementer certification consists of a professional certification for professionals specializing in information security management systems (ISMS) based on the ISO/IEC 27001 standard. This professional certification is… …   Wikipedia

  • ISO 27001 lead auditor — The ISO 27001 Lead Auditor certification consists of a professional certification for auditors specializing in information security management systems (ISMS) based on the ISO/IEC 27001 standard. This certification is provided mainly by two… …   Wikipedia

  • ISO/IEC 27001 — ISO/IEC 27001, part of the growing ISO/IEC 27000 series of standards, is an information security management system (ISMS) standard published in October 2005 by the International Organization for Standardization (ISO) and the International… …   Wikipedia

  • ISO/IEC 27001 — ISO/CEI 27001 Suite ISO/CEI 27000 ISO/CEI 27000 (en préparation) ISO/CEI 27001:2005 ISO/CEI 27002:2005 ISO/CEI 27003 (en préparation) ISO/CEI 27004 (en préparation) …   Wikipédia en Français

  • Iso/cei 27001 — Suite ISO/CEI 27000 ISO/CEI 27000 (en préparation) ISO/CEI 27001:2005 ISO/CEI 27002:2005 ISO/CEI 27003 (en préparation) ISO/CEI 27004 (en préparation) …   Wikipédia en Français

  • ISO/IEC 27001 — ISO 27001  международный стандарт по информационной безопасности разработанный совместно (ISO) и Международной Электротехнической Комиссии (IEC). Подготовлен к выпуску подкомитетом SC27 Обьединенного Технического Коммитета JTC 1. Стандарт… …   Википедия

  • ISO/IEC TR 12182:1998 — is an Information technology standard published in 1998 by the Joint Task Committee 1 (JTC1) of the International Organization for Standardization (ISO) and the International Electrotechnical Commission (IEC) as the technical report ISO/IEC TR… …   Wikipedia

  • ISO/CEI 27001 — Suite ISO/CEI 27000 ISO/CEI 27000:2009 ISO/CEI 27001:2005 ISO/CEI 27002:2005 ISO/CEI 27003:2010 ISO/CEI 27004:2009 ISO/CEI 27005:2011 …   Wikipédia en Français

  • ISO/IEC 27001 — DIN ISO/IEC 27001 Bereich Informationstechnik Titel IT Sicherheitsverfahren – Informationssicherheits Managementsysteme – Anforderungen …   Deutsch Wikipedia

Share the article and excerpts

Direct link
Do a right-click on the link above
and select “Copy Link”