Der internationale Norm ISO 27001 befasst sich mit der Informationssicherheit und dem Schutz vertraulicher Daten. Im Wesentlichen werden mit dieser Norm die Anforderungen an die Aufstellung, die Umsetzung, den Betrieb, die Überwachung, die Bewertung sowie die Wartung und die Verbesserung von einem Informations-Sicherheits-Management-System unter Berücksichtigung der unternehmensspezifischen Risiken vorgegeben.
Darüber hinaus werden Vorgaben bezüglich der Durchführung von Sicherheitskontrollen festgelegt. Letztendlich soll das durch ein ISO 27001 Zertifikat nachgewiesene Informations-Sicherheits-Management-System eines Unternehmens oder einer Behörde dazu dienen, ausreichende und angemessene Sicherheitskontrollen zu implementieren und somit die Informationssicherheit zu gewährleisten und schließlich nach außen hin eine Vertrauenswürdigkeit zu vermitteln.
Überblick über die Norm ISO 27001 bzw. die Normenreihe 27000 bzw. 27k
Die Norm ISO 27000 Information technology – Security techniques – Information security management systems – Overview and vocabulary, behandelt das Thema Informationssicherheit und teilt sich in weitere ISO 2700x Normen auf.
Die Norm ISO 27001 wurde erstmalig in 2005 veröffentlicht. Sie liegt inzwischen als überarbeitete Version 27001:2014 vor und beinhaltet zahlreiche Neuerungen. Mit der dieser Norm können Behörden und Unternehmen ihre Prozesse und Maßnahmen zur Gewährleistung der Informationssicherheit zertifizieren lassen. Sofern ein entsprechendes Informationssicherheitsmanagement (information security management system) bzw. ISMS gemäß den internationalen Vorgaben in einer Behörde bzw. einem Unternehmen implementiert und entsprechende Maßnahmen und Prozesse eingeführt wurden, kann das ISMS von einem anerkannten Auditor zertifiziert werden.
Neben der Norm 27001 Information security management systems – Requirements, gehören beispielsweise noch die folgenden Normen dazu:
- ISO/IEC 27002 Code of practice for information security controls; ehemals Teil 1 des British Standard BS 7799
- ISO/IEC 27003 Information security management systems – Implementation guidance
- ISO/IEC 27004 Information security management – Measurement
- ISO/IEC 27005 Information security risk management
- ISO/IEC 27013 Guidance on the integrated implementation of ISO/IEC 20000-1 and ISO/IEC 27001
Darüber hinaus gibt es spezifische Regelungen für bestimmte Branchen, wie beispielsweise
- ISO/IEC 27010 Information security management for inter-sector and inter-organisational communications
- ISO/IEC 27011 Information security management guidelines for telecommunications organizations based
- ISO/IEC 27014 Governance of information security
- ISO/IEC TR 27015 Information security management systems guidelines for financial services
- ISO/IEC TR 27019 Guidance for information security management of power supply control systems
(Leitfaden für das Informationssicherheitsmanagement von Steuerungssystemen der Energieversorgung)
Historische Entwicklung der Normenreihe 27k
Die Entwicklung der Normenreihe ISO 27000 kann der folgenden Darstellung entnommen werden:
Die Normenreihe ISO/IEC 27000 wird auch kurz als ISO27k-Standard bezeichnet. Die ISO27k-Standards sind teilweise als PDF zum free download verfügbar und können beispielsweise bei iso27001security.com als PDF-Dokumente bezogen werden. Darüber hinaus bietet der Beuth-Verlag zum Teil auch deutsche Publikationen der einzelnen ISO-Normen an.
Zertifizierung durch unsere ISO 27001 Auditoren
Die zertifizierten ISO 27001 Auditoren müssen über entsprechende Fachkenntnisse verfügen und diese in einer persönlichen Zertifizierung als ISO 27001 Lead Auditor bzw. Auditteamleiter nachweisen und ihre Auditberichte bei einer akkreditierten Zertifizierungsstelle nach Abschluss des ISO 27001 Audits einreichen. Die Zertifizierungsstelle vergibt anschließend das ISO 27001 Zertifikat, sofern alle Voraussetzungen erfüllt und in dem Auditbericht entsprechend beurteilt wurden.
Zu Fragen bzw. Informationen stehen wir Ihnen jederzeit gerne zur Verfügung.