ISO/IEC 27001 - Informationssicherheit
Informationssicherheit ist heute (über-)lebensnotwendig für Organisationen aller Art. Vertraulichkeit, Integrität und Verfügbarkeit von Information werden zum strategischen Erfolgsfaktor, wenn es um das Vertrauen der Kunden, Geschäftspartner und der Öffentlichkeit geht.
ISO/IEC 27001 - Informationssicherheit
Informationssicherheit ist heute (über-)lebensnotwendig für Organisationen aller Art. Vertraulichkeit, Integrität und Verfügbarkeit von Information werden zum strategischen Erfolgsfaktor, wenn es um das Vertrauen der Kunden, Geschäftspartner und der Öffentlichkeit geht.
Zusammenfassung
ISO/IEC 27001:2013 ist der weltweit angewendete Standard für die Zertifizierung eines Informationssicherheitsmanagementsystems. Dieses hat zum Ziel, die Informationen basierend auf einer Analyse der Geschäftsrisiken bezüglich Vertraulichkeit, Integrität und Verfügbarkeit zu schützen.
ISO/IEC 27001:2013 ist gleich strukturiert wie die ISO 9001:2015, beinhaltet aber nicht die Geschäftsprozesse, sondern die Massnahmen zur Sicherstellung der Informationssicherheit. Ein ISO 9001:2015 kompatibles Managementsystem ist zwar nicht Voraussetzung, aber die ideale Basis. Fehlt es, müssen noch die Prozesse beschrieben werden, in die die Massnahmen eingebettet werden.
Entwicklung
Geschichte
Der Vorgänger der ISO/IEC 27001:2013 ist ISO/IEC 27001:2005, die fast unverändert von dem britischen Standard BS 7799-2 übernommen wurde. Bereits 1993 hat das Department of Trade and Industry (DTI) in UK eine Sammlung von Best Practices in der Informationssicherheit - den Code of Practice - herausgegeben, der 1995 zum British Standard BS 7799-1 wurde. Er gewann im angelsächsischen Raum sehr schnell an Popularität und der Wunsch nach der Möglichkeit einer Zertifizierung wuchs. Um dem zu entsprechen wurde mit dem BS 7799-2 ein Anforderungskatalog erstellt, nach dem sich eine Organisation zertifizieren lassen konnte. Zwar erfuhren beide Standards international eine sehr hohe Anerkennung, doch blieben sie mehrheitlich Insidern vorbehalten, bis im Jahre 2000 zunächst der BS 7799-1 zur ISO 17799 wurde und 5 Jahre später der BS 7799-2 zur ISO/IEC 27001. Es war geplant, eine ganze Normenfamilie zur Informationssicherheit aufzubauen. Zunächst wurde 2007 die ISO 17799 in ISO/IEC 27002 umbenannt.
Weitere Normen sind bereits veröffentlicht oder werden folgen:
- ISO/IEC 27002 IT-Sicherheitsverfahren
- ISO/IEC 27003 Leitfaden zur Implementierung
- ISO/IEC 27004 Information Security Management Metrics and Measurements (zur Zeit in der Entwicklung)
- ISO/IEC 27005 ISMS Risikomanagement
- ISO/IEC 27006 Anforderungen an Zertifizierungsstellen
- ISO/IEC 27011 Guidelines for telecommunications organizations
- ISO/IEC 27017 Verfahren für Cloud Services
- ISO/IEC 27018 Persönlichkeitsschutz in öffentlichen Clouds
- ISO/IEC 27701 Datenschutz
- ISO/IEC 27799 Guidelines for health informatics
und viele weitere Leitfäden (Guidelines) für branchenspezifische Anwendung und spezifische Themen eines Informationssicherheits-Managementsystems (ISMS).Eine Liste der Normen finden Sie auf den Seiten der ISO.
Nutzen
Organisationen, die ISO/IEC 27001 erfolgreich eingeführt haben, profitieren von:
- Optimaler Mitteleinsatz zum Schutz der Informationen
- Geschäftsrisiken und Schutzbedarf sind identifiziert
- Reduzierung des Haftungsrisikos für GL und VR
- Beherrschung der Top-Risiken
- Garantierte Verfügbarkeit und Integrität der Informationen
- Vertrauensbildung bei Kunden und Geschäftspartner
- Nachhaltiger Schutz des Unternehmenswertes ‚Information’
- Sicherheitsbewusstsein bei allen Mitarbeitenden
Was Sie wissen müssen
Die Anforderungen an ein Informationssicherheitsmanagementsystem sind in der ISO/IEC 27001 dargelegt. Nur danach kann zertifiziert werden. Alle anderen Standards dieser Normenfamilie (ausser ISO/IEC 27006) sind Leitfäden und nicht zertifizierbar.
Die ISO/IEC 27006 ist nur für die Zertifizierstellen relevant. Sie definiert die Anforderungen an die Auditoren, Zertifizierungsabläufe und auch die Berechnung der aufzuwendenden Auditzeit.
Die erwähnten Guidelines geben eine Hilfestellung bei der Definition von wirksamen Massnahmen zur Sicherstellung der Informationssicherheit oder zu speziellen Themen wie z. B. das Risk Assessment. Die branchenspezifischen Leitfäden stützen sich dabei immer auf die sehr gute generische Sammlung von Best Practices der ISO/IEC 27002 ab. Es sind inzwischen weitere Leitfäden für andere Branchen erarbeitet worden und weitere werden folgen.
Erwähnenswert ist hier auch noch die ISO/IEC 22301:2012 - Business Continuity Management, ein wichtiger Aspekt der Informationssicherheit.
Viele weitere Publikationen zum Thema lassen sich auf dem Internet finden: Gefährdungskataloge, Checklisten, Risk Assessment Methoden, … . Beispielhaft sind da die Veröffentlichungen des Bundesamtes für Sicherheit in der Informationstechnik BSI genannt, das für sein Grundschutzhandbuch bekannt ist. Weitere links finden sich im Kapitel Wissenswertes.
Fachartikel:
Der Fall Coppola und mehr
Sie kamen zu fünft und hatten es wohl auf Geld abgesehen. Doch als die Einbrecher im Studio von Star-Regisseur Francis Ford Coppola kein Bares fanden, griffen sie sich einfach den Computer des Meisters – mit fatalen Folgen für den Filmemacher.
Publikation in: IT-Security 2/07
Vernachlässigte Informationssicherheit– ein Bein im Gefängnis
Der Schutz der Informationen in einem Unternehmen ist heute wichtiger denn je. Die Abhängigkeit von Informationen hat durch den verbreiteten Einsatz moderner Informationstechnologien zugenommen, und der Verlust wichtiger Daten kann für ein Unternehmen gravierende Folgen haben.
Publikation in: Marketing & Kommunikation 2/08
Mobile@risk
Flughäfen entpuppen sich als schwarzes Loch für Notebooks. Sind es in den USA 12'000 Geräte, die pro Woche verloren gehen, so beläuft sich die Anzahl in Europa immerhin noch auf 3'300. Sie werden entweder vom Besitzer selber liegen gelassen oder von Dieben gestohlen. Dies geht aus einer von Dell in Auftrag gegebenen Studie des Ponemon Institutes hervor.
Publikation in: Mobile Security 2008
Informationssicherheit: Organisation vor Technik!
Zu häufig wird die Informationssicherheit allein mit technischen Lösungen angegangen.
Doch dies allein genügt nicht. Informationssicherheit ist in erster Linie eine Frage der Organisation.
Publikation in: Organisator 8-8/09
Willkommen im Dschungel
Eine neue Studie der Gartner Group weisst aus, dass die Unternehmen weltweit ca. 5% ihres IT-Budgets für die IT-Sicherheit ausgeben. Die Marktforscher gestehen aber auch ein, dass diese Zahl praktisch nur die direkten Investitionen in technische Lösungen erfasst. Die indirekten Kosten für die Implementierung und Pflege der Systeme, vor allem wenn es um Managementsysteme geht, bleiben oftmals im Dunkeln. Umso wichtiger ist es, sich in der Welt der relevanten Standards zurechtzufinden und die passenden daraus zielgerichtet zu nutzen.
Publikation in: IT-Security 2/10
Interessante Links zum Thema:
- Melde- und Analysestelle Informationssicherung
Newsletter, sehr informative Halbjahresberichte - Information security society of Switzerland, Swiss ICT
Infos, Veranstaltungen - Bundesbehörden der Schweizerischen Eidgenossenschaft
Suche nach Stichworten im Archiv der Bundesbehörden, Gesetze - ENISA European Network and Information Security Agency
Reports, Working Groups, Conferences, .. - Bundesamt für Sicherheit in der Informationstechnik BSI, Deutschland
Grundschutzhandbuch, Formulare, Checklisten, Webkurs, …
enorm viel Material - Verein zur Förderung der Informationssicherheit
Arbeitsblätter, Netzwerk, Sicherheits-HB, … - heise-Verlag
Sehr gute Newsletter zu verschiedenen Themen - IT-Security-Portal
Infos - Information Security
Infos für ITK-Entscheider, Newsletter - ISO 27001 Security Portal
- Gute Informationen zu den Standards, kommerzieller Hintergrund
- ISMS Portal
Webseite von Dr. David Brewer, sehr viel Material
Zur Vorbereitung auf die Zertifizierung und als Unterstützung für interne Audits stellen wir unsere Checklisten im Swiss Safety Center Shop gratis zur Verfügung.
