Home

.... was man nicht genau weiß, weiß man gar nicht ....

Management Know-How

 

ISO 27000

 

 

Die Zielsetzung und Anforderungen

 

Die ISO/IEC 27000-Reihe ist eine Reihe von Standards der IT-Sicherheit. Wesentliche Bestandteile der Normenreihe sind:

 

 

ISO 27001

 

ISO/IEC 27001 (IT-Sicherheitsverfahren - Informationssicherheits-Managementsysteme - Anforderungen) spezifiziert die Anforderungen für die Definition, Einführung, Pflege und kontinuierliche Verbesserung des Information Security Management Systems als Bestanteil des Unternehmensmanagements. Dies umfasst auch die Anforderungen an die Analyse und Behandlung von Risiken der Informationssicherheit angepasst an die Notwendigkeiten des Unternehmens. Dabei wird auf die universelle Einsetzbarkeit der Normenfestlegung abgestellt.

 

Die letzte Revision: 2013

 

 

ISO 27002

 

ISO/IEC 27002:2008 (IT-Sicherheitsverfahren - Leitfaden für das Informationssicherheits-Management) befasst sich mit den folgenden 11 Überwachungsbereichen:

  1. Information Security Policy - Weisungen und Richtlinien zur Informationssicherheit

  2. Organization of Information Security - Organisatorische Sicherheitsmaßnahmen und Managementprozess

  3. Asset Management - Verantwortung und Klassifizierung von Informationswerten

  4. Human Resources Security - Personelle Sicherheit

  5. Physical and Environmental Security - Physische Sicherheit und öffentliche Versorgungsdienste

  6. Communications and Operations Management - Netzwerk- und Betriebssicherheit (Daten und Telefonie)

  7. Access Control – Zugriffskontrolle

  8. Information Systems Acquisition, Development and Maintenance - Systementwicklung und Wartung

  9. Information Security Incident Management - Umgang mit Sicherheitsvorfällen

  10. Business Continuity Management - Notfallvorsorgeplanung

  11. Compliance - Einhaltung rechtlicher Vorgaben, der Sicherheitsrichtlinien und Überprüfungen durch Audits

Diese 11 Überwachungsbereiche untergliedern sich in 39 Hauptkategorien, sogenannte Kontrollziele. Diese sind mit insgesamt 133 Sicherheitsmaßnahmen untersetzt, deren Anwendung die Erreichung der Kontrollziele unterstützt.

 

Die letzte Revision: 2013

 

 

Die Revision 2013 der ISO 27000

 

Wesentlich ist der größere Gestaltungsfreiraum für das einzelne Unternehmen in Bezug auf die Implementierung des Security Management Systems (SMS). Dabei wurden

  • Definitionen überarbeitet, ergänzt oder aufgehoben bzw. in andere Standards verschoben

  • die Zielfestlegung, Leistungs- und Werteüberwachung deutlicher in den Fokus der Bewertung gerückt

  • die überarbeiteten und ergänzte Anforderungen an das Management fest gelegt

  • Anforderungen nicht mehr auf Kontrollen fokussiert sondern auf die Adressierung von Risiken in Bezug auf die zu unterstützenden Managementprozesse

  • neue Rollen (Risk Owner) eingeführt

  • die Anforderungen in Bezug auf eine Risikobewertung in die ISO 31000 verlagert

 

Der Nutzen der ISO 27000 - Zertifizierung

 

Die Zertifizierung nach ISO 27000 betätigt, dass

  • Sicherstellung der Compliance - Anforderungen und Erfüllung international anerkannter Anforderungen

  • Bessere Kontrolle von IT-Risiken durch systematisches Risiko-Management

  • Sicherheit wird zum integralen Bestandteil Ihrer Geschäftsprozesse

  • Steigerung des Vertrauens und der Transparenz gegenüber Partnern, Kunden und der Öffentlichkeit

  • Vorteile im Wettbewerb durch einen anerkannten Standard

Zurück zur Know How - Übersicht

 

 

Zur deutschen Version wechseln           This content is available in german language only

_ © 2006 - 2019 Dipl.-Ing. Walter Abel Management Consulting Zuletzt aktualisiert am 06.01.2019 _