Remove ads
Sicherheitsstandards Aus Wikipedia, der freien Enzyklopädie
Die ISO/IEC 27000-Reihe (auch ISO/IEC 27000-Familie oder im Englischen kurz auch ISO27k genannt) ist eine Reihe von Standards zur Informationssicherheit, die von der International Organization for Standardization (ISO) und der International Electrotechnical Commission (IEC) herausgegeben werden.
Der Fokus dieser Reihe liegt auf Best-Practice-Empfehlungen zur Organisation der Informationssicherheit im Kontext eines Information Security Management Systems (ISMS).
Diese ISO/IEC Standards unterliegen häufigen Änderungen und werden in verschiedenen Sprachen wie Englisch, Deutsch oder Chinesisch aufgelegt.
Im Rahmen der Standardisierung wurde in der Zusammenarbeit von ISO und IEC beschlossen, verschiedene Standards zur Informationssicherheit unter dem Nummernkreis 2700x Information technology – Security techniques zusammenzufassen. Der deutsche Anteil an dieser Normungsarbeit wird vom DIN NIA-01-27 IT-Sicherheitsverfahren betreut. Für die Evaluierung und Zertifizierung von IT-Produkten und -systemen existiert der Standard ISO/IEC 15408 (Common Criteria).
Aus Teil 2 von BS 7799 hat sich die Norm ISO/IEC 27001:2005 entwickelt. Sie spezifiziert die Anforderungen an ein Information Security Management System (ISMS). Innerhalb der ISO/IEC 2700x-Familie kann man mit Hilfe der ISO/IEC 27001 den Erfüllungsgrad der Konformität nachvollziehen. Firmen und Behörden können anhand der ISO/IEC 27001 ihre ISMS beurteilen und zertifizieren lassen.
Die ISO/IEC 27002:2005 führte in zwölf Aufgabenfelder Vorgaben für Risikoanalyse und -bewältigung (Section 4) und insgesamt 123 Kontrollpunkte auf, die zum Teil sehr konkrete Handlungsanweisungen (Implementation guidance) enthalten (Section 5–15). Da die neue Norm technikneutral ist, sind diese Handlungsanweisungen jedoch auf der konzeptionellen Ebene und müssen für den konkreten Anwendungsfall auf organisatorische, betriebliche und technische Maßnahmen heruntergebrochen werden. Im Bereich der technischen Sicherheitsmaßnahmen lässt sich die ISO/IEC 27002:2005 sinnvoll durch die IT-Grundschutz-Kataloge des Bundesamts für Sicherheit in der Informationstechnik ergänzen.
Entwickelten sich viele Standards ursprünglich in sprachlicher, geographischer und institutioneller Hinsicht unabhängig voneinander, nähern sich die Normen immer mehr einander an. Seit Erscheinen der ISO/IEC 17799-Norm im Jahr 2000 hat besonders das Thema der Kompatibilität der Standards untereinander die Weiterentwicklung geprägt. So ist der IT-Grundschutz zur ISO/IEC 27001-Norm kompatibel. Seit 2012 werden alle ISO-Normen einer neuen Struktur für Managementstandards mit dem Namen Annex SL angepasst. Damit bezweckt die ISO eine bessere Verknüpfung der Standards untereinander. Die Einführung und Verwendung mehrerer ISO-Standards wie zum Beispiel der ISO/IEC 27001 und der ISO/IEC 20000 nebeneinander soll vereinfacht werden.[1]
Die ISO/IEC-Standards zur Informationssicherheit sollen sukzessive erweitert werden: im August 2013 waren 21 Standards erschienen und insgesamt mindestens 31 Normen geplant.
Fachspezifische Subnormen der ISO/IEC 27002 sind in Ausarbeitung als ISO/IEC 27010 bis ISO/IEC 27019:
Weiterhin ist vorgesehen, dass in ISO/IEC 27030 bis ISO/IEC 27044 die technischen Gebiete der Informationssicherheit abgedeckt werden sollen, z. B. cyber security, intrusion detection und trusted third party authentication.
Auf der Ebene einer Organisation kann das Information Security Management System gegen den normativen Teil ISO/IEC 27001 geprüft und zertifiziert werden. Für Personen existieren verschiedene Schemata zur Ausbildung und Zertifizierung. Diese werden von unterschiedlichen Zertifizierungsunternehmen gestaltet, siehe Liste der IT-Zertifikate.
Seamless Wikipedia browsing. On steroids.
Every time you click a link to Wikipedia, Wiktionary or Wikiquote in your browser's search results, it will show the modern Wikiwand interface.
Wikiwand extension is a five stars, simple, with minimum permission required to keep your browsing private, safe and transparent.