ISO/IEC 27001

Die internationale Norm ISO/IEC 27001 Information technology – Security techniques – Information security management systems – Requirements spezifiziert die Anforderungen für Einrichtung, Umsetzung, Aufrechterhaltung und fortlaufende Verbesserung eines dokumentierten Informationssicherheits-Managementsystems unter Berücksichtigung des Kontexts einer Organisation. Darüber hinaus beinhaltet die Norm Anforderungen für die Beurteilung und Behandlung von Informationssicherheitsrisiken entsprechend den individuellen Bedürfnissen der Organisation.^[2] Hierbei werden sämtliche Arten von Organisationen (z. B. Handelsunternehmen, staatliche Organisationen, Non-Profitorganisationen) berücksichtigt. Die Norm wurde auch als DIN-Norm veröffentlicht und ist Teil der ISO/IEC 2700x-Familie.

ISO/IEC 27001
Bereich	Informationstechnik
Titel	Informationssicherheit, Cybersicherheit und Datenschutz - Informationssicherheitsmanagementsysteme - Anforderungen
Letzte Ausgabe	2022-10[1]
Klassifikation	03.100.70, 35.030

Übersicht

Die Norm spezifiziert Anforderungen für die Implementierung von geeigneten Sicherheitsmechanismen, welche an die Gegebenheiten der einzelnen Organisationen adaptiert werden sollen. Der deutsche Anteil an diesem internationalen Normungsprojekt wird vom DIN NIA-01-27 IT-Sicherheitsverfahren betreut.

Die ISO/IEC 27001 wurde entworfen, um die Auswahl geeigneter Sicherheitsmechanismen zum Schutz sämtlicher Werte (Assets) in den Wertschöpfungsketten (siehe Scope der ISO/IEC 27001, …organization's overall business risk) sicherzustellen.

Historische Entwicklung

• 1993: britischer Berufsverband National Computing Centre (NCC) -> Dokument veröffentlicht
• 1995: Nationaler Standard -> ermöglicht Unternehmen, ihre Prozesse zu zertifizieren
• 2005: Die ISO/IEC 27001:2005 ging aus dem zweiten Teil des britischen Standards BS 7799-2:2002 hervor. Sie wurde als internationale Norm erstmals am 15. Oktober 2005 veröffentlicht.
• Seit September 2008 liegt die Norm auch als DIN ISO/IEC 27001:2008 in der deutschen Übersetzung vor. Die deutsche Ausgabe wird vom DIN NIA-01-27 IT-Sicherheitsverfahren betreut, der an der internationalen Normungsarbeit im zuständigen Komitee ISO/IEC JTC 1/SC 27 mitwirkt.
• Am 25. September 2013 wurde die überarbeitete Version ISO/IEC 27001:2013 in englischer Sprache veröffentlicht.^[3]
• Am 10. Januar 2014 wurde die überarbeitete Version DIN ISO/IEC 27001:2014 als Entwurf in deutscher Sprache veröffentlicht.^[4]
• Im März 2015: wurde die überarbeitete Version DIN ISO/IEC 27001:2015 in deutscher Sprache veröffentlicht.^[5]
• Seit Juni 2017 ist die aktuelle Version der DIN EN ISO/IEC 27001:2017 in deutscher Sprache veröffentlicht.^[6]
• Am 25. Oktober 2022 wurde die überarbeitete Version ISO/IEC 27001:2022 in englischer Sprache veröffentlicht. Seit Dezember 2023 ist diese auch in deutscher Sprache veröffentlicht.^[7]

Anwendung

Die ISO/IEC 27001 soll für verschiedene Bereiche anwendbar sein, insbesondere:^[8]

1. Formulierung von Anforderungen und Zielsetzungen zur Informationssicherheit:

• Beschreibung der Bedeutung von klaren Anforderungen und Zielen für die Informationssicherheit.
• Beispiel: Ein Finanzunternehmen formuliert Anforderungen für die sichere Speicherung und den Zugriff auf vertrauliche Kundendaten, um die Vertraulichkeit und Integrität der Informationen sicherzustellen.

2. Management von Sicherheitsrisiken:

• Erklärung, wie die Norm dazu beiträgt, Sicherheitsrisiken effektiv zu managen.
• Beispiel: Ein Technologieunternehmen führt regelmäßige Risikobewertungen durch, um potenzielle Bedrohungen wie Datenlecks oder Cyberangriffe zu identifizieren und angemessene Gegenmaßnahmen zu ergreifen.

3. Gewährleistung der Konformität mit Gesetzen und Regulierungen:

• Erläuterung, wie die Norm Organisationen dabei unterstützt, rechtliche Anforderungen im Bereich der Informationssicherheit zu erfüllen.
• Beispiel: Gesundheitsdienstleister stellt sicher, dass seine Informationssicherheitsmaßnahmen den Anforderungen der Health Insurance Portability and Accountability Act (HIPAA) entsprechen, um Patientendaten zu schützen und rechtliche Haftung zu vermeiden.

4. Implementierung und Management von Maßnahmen zur Sicherstellung von spezifischen Zielen zur Informationssicherheit:

• Beschreibung des Prozessrahmens, den die Norm für die Umsetzung von Sicherheitsmaßnahmen bietet.
• Beispiel: Ein E-Commerce-Unternehmen implementiert Verschlüsselungsmechanismen für seine Online-Zahlungsplattform, um die Vertraulichkeit von Kreditkartendaten zu gewährleisten und Betrug zu verhindern.

5. Identifikation und Definition von bestehenden sowie neuen Informationssicherheits-Managementprozessen:

• Darstellung, wie die Norm Organisationen bei der Identifizierung und Definition ihrer Sicherheitsmanagementprozesse unterstützt.
• Beispiel: Ein Telekommunikationsunternehmen identifiziert und definiert neue Prozesse zur Überwachung und Reaktion auf Sicherheitsvorfälle, um die Betriebskontinuität und den Schutz sensibler Kundendaten sicherzustellen.

6. Verwendung durch interne und externe Auditoren:

• Erklärung, wie interne und externe Auditoren die Norm nutzen können, um die Umsetzung von Richtlinien und Standards zu überprüfen.
• Beispiel: Ein unabhängiger Prüfer verwendet die ISO/IEC 27001 als Rahmenwerk, um die Wirksamkeit der Informationssicherheitsmaßnahmen eines Unternehmens zu überprüfen und potenzielle Schwachstellen aufzudecken.

Zertifizierung

Managementsysteme

Viele (Groß-)Firmen haben interne Sicherheitsrichtlinien. Mithilfe von internen Überprüfungen (auch Audit genannt) können diese Unternehmen ihr Vorgehen im Vergleich zu ihren eigenen Standards überprüfen. Dennoch ist es schwierig, ihre Kompetenzen im Bereich der IT-Sicherheit öffentlichkeitswirksam zu präsentieren, insbesondere gegenüber potenziellen Kunden. Aus diesem Grund kann z. B. eine Zertifizierung nach anerkannten Standards wie nach ISO/IEC 27001, ISO/IEC 27001-Zertifikat auf Basis von IT-Grundschutz oder nach IT-Grundschutz^[9] sinnvoll sein.

Organisationen haben verschiedene Möglichkeiten, die Konformität zu einer Norm zu demonstrieren:

• sie können ihre Konformität von sich aus verkünden,
• sie können ihre Kunden bitten, die Konformität zu bestätigen, und
• ein unabhängiger externer Auditor kann die Konformität verifizieren.^[10]

Es ist jedoch wichtig zu beachten, dass die ISO selbst keine Zertifizierung durchführt, sondern lediglich Standards hierfür festlegt.

Personen

Es existieren verschiedene, meist modulare, Schemata zur Ausbildung und Zertifizierung von Personen im Bereich der ISO/IEC 27000-Reihe. Diese werden von unterschiedlichen Zertifizierungsunternehmen gestaltet, siehe Liste der IT-Zertifikate.

Weblinks

• DIN EN ISO/IEC 27001:2024-01 bei Beuth Verlag
• Veröffentlichung der ISO/IEC 27001:2022 (englisch)
• Ein Vergleich der Versionen ISO/IEC 27001:2005 und 27001:2013
• ISO 27001:2022 und ihre Anforderungen

Einzelnachweise

1. ISO/IEC 27001:2022. In: iso.org. Abgerufen am 4. November 2022.
2. DIN ISO/IEC 27001:2015-03 – Beuth.de. In: www.beuth.de. Abgerufen am 24. November 2016.
3. The new version of ISO/IEC 27001:2013 is here. In: bsigroup.com. 25. September 2013, abgerufen am 1. Oktober 2013.
4. DIN ISO/IEC 27001:2014-02 [NEU]. In: beuth.de. 10. Januar 2014, abgerufen am 15. November 2014.
5. DIN ISO/IEC 27001:2015-03 [NEU]. In: beuth.de. Abgerufen am 26. März 2015.
6. DIN EN ISO/IEC 27001:2017-06 – Beuth.de. Abgerufen am 21. November 2017.
7. DIN EN ISO/IEC 27001 - 2024-01 - Beuth.de. Abgerufen am 4. April 2024.
8. Anwendungsbereiche. In: smct-management.de. Stefan Stroessenreuther, 2024, abgerufen am 2. März 2024.
9. Zertifizierte Informationssicherheit. In: www.bsi.bund.de. Bundesamt für Informationssicherheit, 10. Juni 2021, abgerufen am 28. Februar 2022.
10. Management system standards. In: iso.org. International Organization for Standardization, 2013, abgerufen am 27. September 2013.