Remove ads
Anforderungen für Informationssicherheits-Managementsysteme Aus Wikipedia, der freien Enzyklopädie
Die internationale Norm ISO/IEC 27001 Information technology – Security techniques – Information security management systems – Requirements spezifiziert die Anforderungen für Einrichtung, Umsetzung, Aufrechterhaltung und fortlaufende Verbesserung eines dokumentierten Informationssicherheits-Managementsystems unter Berücksichtigung des Kontexts einer Organisation. Darüber hinaus beinhaltet die Norm Anforderungen für die Beurteilung und Behandlung von Informationssicherheitsrisiken entsprechend den individuellen Bedürfnissen der Organisation.[2] Hierbei werden sämtliche Arten von Organisationen (z. B. Handelsunternehmen, staatliche Organisationen, Non-Profitorganisationen) berücksichtigt. Die Norm wurde auch als DIN-Norm veröffentlicht und ist Teil der ISO/IEC 2700x-Familie.
| |||
Bereich | Informationstechnik | ||
Titel | Informationssicherheit, Cybersicherheit und Datenschutz - Informationssicherheitsmanagementsysteme - Anforderungen | ||
Letzte Ausgabe | 2022-10[1] | ||
Klassifikation | 03.100.70, 35.030 |
Die Norm spezifiziert Anforderungen für die Implementierung von geeigneten Sicherheitsmechanismen, welche an die Gegebenheiten der einzelnen Organisationen adaptiert werden sollen. Der deutsche Anteil an diesem internationalen Normungsprojekt wird vom DIN NIA-01-27 IT-Sicherheitsverfahren betreut.
Die ISO/IEC 27001 wurde entworfen, um die Auswahl geeigneter Sicherheitsmechanismen zum Schutz sämtlicher Werte (Assets) in den Wertschöpfungsketten (siehe Scope der ISO/IEC 27001, …organization's overall business risk) sicherzustellen.
Die ISO/IEC 27001 soll für verschiedene Bereiche anwendbar sein, insbesondere:[8]
1. Formulierung von Anforderungen und Zielsetzungen zur Informationssicherheit:
2. Management von Sicherheitsrisiken:
3. Gewährleistung der Konformität mit Gesetzen und Regulierungen:
4. Implementierung und Management von Maßnahmen zur Sicherstellung von spezifischen Zielen zur Informationssicherheit:
5. Identifikation und Definition von bestehenden sowie neuen Informationssicherheits-Managementprozessen:
6. Verwendung durch interne und externe Auditoren:
Viele (Groß-)Firmen haben interne Sicherheitsrichtlinien. Mithilfe von internen Überprüfungen (auch Audit genannt) können diese Unternehmen ihr Vorgehen im Vergleich zu ihren eigenen Standards überprüfen. Dennoch ist es schwierig, ihre Kompetenzen im Bereich der IT-Sicherheit öffentlichkeitswirksam zu präsentieren, insbesondere gegenüber potenziellen Kunden. Aus diesem Grund kann z. B. eine Zertifizierung nach anerkannten Standards wie nach ISO/IEC 27001, ISO/IEC 27001-Zertifikat auf Basis von IT-Grundschutz oder nach IT-Grundschutz[9] sinnvoll sein.
Organisationen haben verschiedene Möglichkeiten, die Konformität zu einer Norm zu demonstrieren:
Es ist jedoch wichtig zu beachten, dass die ISO selbst keine Zertifizierung durchführt, sondern lediglich Standards hierfür festlegt.
Es existieren verschiedene, meist modulare, Schemata zur Ausbildung und Zertifizierung von Personen im Bereich der ISO/IEC 27000-Reihe. Diese werden von unterschiedlichen Zertifizierungsunternehmen gestaltet, siehe Liste der IT-Zertifikate.
Seamless Wikipedia browsing. On steroids.
Every time you click a link to Wikipedia, Wiktionary or Wikiquote in your browser's search results, it will show the modern Wikiwand interface.
Wikiwand extension is a five stars, simple, with minimum permission required to keep your browsing private, safe and transparent.