ISMS

ISO/IEC 27001

ISO/IEC 27001

Information security management systems - Requirements / Informationssicherheitsmanagementsysteme – Anforderungen

Titel: Informationstechnik
Arbeitsgebiet: IT-Sicherheitsverfahren
Name des Standards: Information security management systems - Requirements Informationssicherheitsmanagementsysteme – Anforderungen

Inhalt und Anwendungsbereich

ISO/IEC 27001 legt die Anforderungen für die Errichtung, Einführung, Aufrechterhaltung und kontinuierliche Verbesserung eines Informationssicherheits-Managementsystems fest. Da das Dokument sehr generisch gehalten ist, um auf alle Organisationen unabhängig von Typ, Größe und Geschäftsfeld anwendbar zu sein, haben diese Anforderungen einen niedrigen technischen Detaillierungsgrad, wobei die Anforderungen an die Prozesse wohl definiert sind. Aufbauend auf der Norm werden nationale Zertifizierungsschemata definiert.

Methodik

ISO/IEC 27001 berücksichtigt den in den ISO/IEC Direktiven Teil 1 festgeschriebenen Annex SL, der eine einheitliche Struktur und Wortwahl für Managementsysteme, bis hin zu identischen Kapiteln und einheitlichen Begriffsdefinitionen vorgibt. Die Struktur des ISMS ist damit kompatibel zu anderen Managementsystemen, die unter Berücksichtigung des Annex SL standardisiert sind wie z.B. zukünftig das Qualitätsmanagementsystem nach ISO 9000. Ein ISMS erlaubt es, ermittelte Risiken durch geeignete, in die Organisationsprozesse eingebettete Kontrollmechanismen zu reduzieren, zu verlagern oder anders zu kontrollieren. Hierbei sind die Geschäftsziele und die resultierenden Sicherheitsanforderungen als Input sowie “gemanagte” Informationssicherheit als Output anzusehen. Die transformierenden Systemprozesse sind das Aufbauen, das Umsetzen und Betreiben, das Überprüfen sowie das Aufrechterhalten und Verbessern.
Als Managementstandard richtet sich das Dokument an die Geschäftsleitung und den IT-Sicherheitsbeauftragten weniger an die Umsetzungsverantwortlichen, Techniker oder Administratoren.

Zertifizierung

Der Grad der Umsetzung des Informationssicherheits-Managementsystems kann von internen oder externen Parteien (Auditoren) kontrolliert werden. Bisher war es in Deutschland möglich sich mit dem vom BSI herausgegebenen Zertifikat „ISO/IEC 27001 auf Basis IT Grundschutz“ nach ISO/IEC 27001:2005 zertifizieren zu lassen. Durch die Neuausgabe der ISO/IEC 27001 müsste das Grundschutzzertifikat angepasst werden, was derzeit aber nicht abzusehen ist. Die Übergangsfrist für bestehende Zertifikate wurde von der IAF auf 2 Jahre festgelegt, bis Oktober 2015.
Die Zertifizierung erfolgt durch akkreditierte Unternehmen, sogenannte Zertifizierungsstellen. Eine aktuelle Liste der akkreditierten Stellen, auch für andere Zertifizierungen, kann bei der DAkkS - Deutsche Akkreditierungsstelle GmbH (http://www.dakks.de) abgerufen werden.

Weitere Anmerkungen

Wegen der engen methodischen Anlehnung an die ISO 9000 (Qualitätsmanagement) und die ISO 14000 (Umweltmanagement) kann die ISO/IEC 27001 als ein Qualitätsstandard für Managementsysteme bezüglich der Informationssicherheit angesehen werden.
ISO/IEC 27001:2013 wird im Laufe des Jahres 2014 als DIN ISO/IEC 27001 als deutsche Sprachfassung ins Deutsche Normenwerk übernommen.

Bisherige Ausgaben

ISO/IEC 27001:2005
ISO/IEC 27001:2013

Standards in diesem Bereich

ISO/IEC 27007
Titel: Informationstechnik
Arbeitsgebiet:IT-Sicherheitsverfahren
Name des Standards:Guidelines for information security management systems auditing
ISO/IEC TR 27008
Titel: Informationstechnik
Arbeitsgebiet:IT-Sicherheitsverfahren
Name des Standards:Guidelines for auditors on information security controls
ISO/IEC 27013
Titel: Informationstechnik
Arbeitsgebiet:IT-Sicherheitsverfahren
Name des Standards: Guidance on the integrated implementation of ISO/IEC 27001 and ISO/IEC 20000-1
BSI-Standard 200-1
Titel: Informationstechnik
Arbeitsgebiet:IT-Sicherheitsverfahren
Name des Standards:Managementsysteme für Informationssicherheit
BSI-Standard 200-2
Titel: Informationstechnik
Arbeitsgebiet:IT-Sicherheitsverfahren
Name des Standards:IT-Grundschutz-Methodik
BSI-Standard 100-4
Titel: Informationstechnik
Arbeitsgebiet:IT-Sicherheitsverfahren
Name des Standards:BSI-Standard 100-4: Notfallmanagement
IT-Grundschutz-Kompendium
Titel: Informationstechnik
Arbeitsgebiet:IT-Sicherheitsverfahren
Name des Standards:IT-Grundschutz-Kompendium
ISO/IEC 27001
Titel: Informationstechnik
Arbeitsgebiet:IT-Sicherheitsverfahren
Name des Standards:Information security management systems - Requirements Informationssicherheitsmanagementsysteme – Anforderungen
ISO/IEC 27002
Titel: Informationstechnik
Arbeitsgebiet:IT-Sicherheitsverfahren
Name des Standards: Code of practice for information security management Leitfaden zum Informationssicherheitsmanagement
ISO/IEC 27003
Titel: Informationstechnik
Arbeitsgebiet:IT-Sicherheitsverfahren
Name des Standards:Information security management system implementation guidance
ISO/IEC 27006
Titel: Informationstechnik
Arbeitsgebiet:IT-Sicherheitsverfahren
Name des Standards: Requirements for bodies providing audit and certification of information security management systems Anforderungen an Stellen, die Auditierung und Zertifizierung von Informationssicherheitsmanagementsystemen bereitstellen