ISMS ISO IEC 27001 Einführung

Auf dieser Seite finden Sie viele Fakten und Informationen zum ISO 27001 Standard für Informationssicherheitsmanagement, kurz ISMS.

Zunächst wird die Entstehungsgeschichte der ISO 27001 genauer beleuchtet. Anschließend werden die Strukturen des ISO 27001 Standard genauer erläutert. Abschließend wird noch, die mit der ISMS ISO 27001 verwandte Norm, ISO 27002 genauer dargestellt.

GRATIS VORLAGE: Mit dieser gratis Vorlage Verfahrensanweisung Risikomanagement ISO 27001  bauen Sie ein dokumentiertes ISMS- Managementsystem auf.

Informationssicherheits Management nach ISO 27001 Standard

Der ISO 27001 Standard wurde mit dem Ziel entwickelt, ein System bereitzustellen, auf Basis dessen ein Informations-Sicherheits-Management-System (ISMS) aufgebaut und betrieben werden kann. Es werden die für das Geschäft notwendigen Informationswerte betrachtet. Der Fokus liegt nicht nur auf IT Sicherheit, sondern auch auf Informationen.

 

Die ISO IEC 27001…
  • …ist ein im Oktober 2013 neu herausgegebener internationaler Standard
  • …spezifiziert Anforderungen an ein Informationssicherheits- managementsystem (ISMS)
  • …ist anwendbar in Organisationen jeglicher Art, Ausprägung und Größe
  • …erlaubt die Implementierung und den Betrieb von konsistenten und integrierten Managementsystemen für Informationssicherheit (ISO 27001), Qualität (ISO 9001) und Umwelt (ISO 14001)

AUSBILDUNG: Mit der Ausbildung Basiswissen Informationssicherheitsmanagement ISO 27001 lernen Sie die ISO 27001 von Grund auf kennen und anzuwenden.

Zum Seitenanfang

Entstehungsgeschichte des ISO 27001 Standards

September 1993 – Code of Practice

Februar 1995 – BS 7799:1995
Umfassende Sammlung von Maßnahmen , in der die besten Praktiken der Informationssicherheit enthalten sind
Gemeinsamer Bezugspunkt zur Identifizierung der verschiedenen Maßnahmen , die für die meisten Situationen in praktisch jeder Organisation erforderlich sind
bzgl. Herausgabe als ISO Norm

Februar 1998 - BS 7799-2:1998
Herausgegeben als Basis für die Beurteilung eines Managementsystems für Informationssicherheit (ISMS) als Gesamtheit oder Teil einer Organisation
Basis für ein formales Verfahren zur Zertifizierung
Verweist auf BS7799:1995

April 1999 - BS7799-1:1999 und BS7799-2:1999
Überarbeitung hinsichtlich neuester Entwicklungen (insbesondere Netzwerke und Kommunikationstechnologie, aber auch Verantwortung der Unternehmen bezgl.
Informationssicherheit)
Ankündigung der erneuten Einspeisung in ISO „Fast Track Verfahren“ bzgl. Herausgabe der BS 7799-1 als ISO Norm

Dezember 2000 – ISO IEC 17799 : 2000
„Information technology – Code of practice for information security management“ entspricht inhaltlich vollständig der BS7799-1:1999
Zertifizierung weiterhin nach BS7799-2

September 2002 - BS 7799 – 2 : 2002
Prozess-orientiert
Formal angelehnt an: ISO9001:2000, ISO 14001:1996

Juli 2005 - ISO IEC 17799 : 2005
Eine allgemeinverständliche Darstellung und Beschreibung der Schutzmaßnahmen
Anpassung auf den heutigen Stand der Technik
Überarbeitung der allgemeinen Abgrenzungen zwischen Managementaufgaben und technischen Aufgaben

Oktober 2013 - Revision ISO 27001 : 2013
• vollständige inhaltliche und strukturelle Überarbeitung der ISO 27001 : 2008
• höhere Anforderungen an die Dokumentation im Rahmen des ISMS
• Anpassung an die Anforderungen der ISO Management System Standards
• Wegfall des prozessorientierten Ansatzes und stärkere prozessuale Ausprägung des Inhalts; Ausrichtung am PDCA („Plan-Do-Check-Act“) Zyklus
• Annex A: statt einer Leitlinie ist nun die Festlegung eines „Satzes von Informationssicherheitsleitlinien“ erforderlich, welcher sich aus den Anforderungen aller
Maßnahmen zusammenstellt

GRATIS VORLAGE: Nutzen Sie das gratis Informationsblatt ISMS ISO 27001 – Zertifizierungsstellen für einen Überblick über akkreditierte Zertifizierungsstellen.

Struktur des ISO 27001 Standard

Die ISO IEC 27001 besteht im wesentlichen aus:

• einem Managementrahmen für Informationssicherheit (Kap. 4-8).
• einer normativen Anlage A, mit einem Maßnahmenkatalog.

 

Strukturgrundlage von ISO 27001 ist der Ablauf “Planen, Ausführen, Kontrollieren, Optimieren” (engl.: PDCA), also gleich wie andere ISO – Managementsysteme (z.B. ISO 9001 , ISO 14001). Auf dieser Grundlage kann ein sogenanntes integriertes Managementsystem gestaltet werden, das die Anforderungen aller erwähnten Normen erfüllt. Deshalb kann ein Qualitätsmanagementsystem vergleichsweise einfach um den Aspekt der Informationssicherheit erweitert werden.

Zum Seitenanfang

Die ISO 27002

Die ISO IEC 27002 : 2013 …

• … ist ein im Oktober 2013 in englischer Fassung herausgegebener internationaler Standard,  der seit Mitte 2014 in deutscher Fassung vorliegt
• … ist ein Leitfaden für das Management von Informationssicherheit (keine Spezifikation und kein Zertifizierungsstandard)
• … dient zum besseren Verständnis der in der ISO 27001 definierten Anforderungen
• … dient als Basis zur Entwicklung von organisationseigenen Verfahren und Regelungen

ISO IEC 27002 : 2013 versteht sich im Wesentlichen als …

• … Ergänzung zur ISO 27001 (Detaillierung der normativen Anlage A der ISO 27001)
• … Referenz zur Auswahl von Maßnahmen, gegliedert in 14 Sicherheitskategorien, 35 Maßnahmenzielen  und 114 Maßnahmen