ISO/IEC 27001

ISO/IEC 27001 ist ein internationaler Standard für die Verwaltung Informationssicherheit. Der Standard wurde ursprünglich gemeinsam von der veröffentlicht Internationale Standardisierungsorganisation (ISO) und die Internationale Elektrotechnische Kommission (IEC) im Jahr 2005[1] und dann 2013 überarbeitet.[2] Es werden Anforderungen an die Festlegung, Implementierung, Aufrechterhaltung und kontinuierliche Verbesserung eines Informationssicherheitsmanagementsystems (ISMS) beschrieben. Das Ziel ist es, Organisationen zu helfen, die von ihnen sichereren Informationsgüter zu gestalten.[3] Ein europäisches Update des Standards wurde 2017 veröffentlicht.[4] Organisationen, die den Anforderungen des Standards erfüllen Prüfung. Die Wirksamkeit des ISO/IEC 27001-Zertifizierungsprozesses und des Gesamtstandards wurde in einer im Jahr 2020 durchgeführten groß angelegten Studie behandelt.[5]

Wie der Standard funktioniert

Die meisten Organisationen haben eine Reihe von Informationen Sicherheitskontrollen. Allerdings ohne eine Informationssicherheitsmanagement System (ISMS), Kontrollen sind in der Regel etwas unorganisiert und unzusammenhängend, nachdem sie häufig als Punktlösungen für bestimmte Situationen oder einfach als Konvention implementiert wurden. Sicherheitskontrollen im Betrieb befassen sich in der Regel bestimmte Aspekte von Informationstechnologie (Es) oder Datensicherheit speziell; Das Verlassen von Nicht-IT-Informationsvermögen (wie Papierkram und proprietäres Wissen) im Großen und Ganzen weniger geschützt. Darüber hinaus kann die Planung der Geschäftskontinuität und die physische Sicherheit unabhängig von der IT oder Informationssicherheit verwaltet werden, während die Personalpraktiken möglicherweise nur wenig auf die Notwendigkeit hinweisen, Informationen und Verantwortlichkeiten für Informationssicherheit zu definieren und zuzuweisen.

ISO/IEC 27001 erfordert dieses Management:

  • Systematisch die Risiken für Informationssicherheit der Organisation untersuchen und die Bedrohungen, Schwachstellen und Auswirkungen berücksichtigen;
  • Entwerfen und Implementieren einer kohärenten und umfassenden Suite von Informationssicherheitskontrollen und/oder anderen Formen der Risikobehandlung (z. B. Risikovermeidung oder Risikoübertragung), um die Risiken zu beheben, die als inakzeptabel eingestuft werden; und
  • Übernehmen Sie einen übergreifenden Managementprozess, um sicherzustellen, dass die Informationssicherheit kontinuierlich die Informationssicherheitsbedürfnisse der Organisation kontinuierlich erfüllen.

Welche Kontrollen im Rahmen der Zertifizierung an ISO/IEC 27001 getestet werden, hängt vom Zertifizierungsprüfer ab. Dies kann alle Kontrollen umfassen, die die Organisation als im Rahmen des ISMS angesehen hat, und diese Tests können in jeder Tiefe oder einem beliebigen Ausmaß der Prüfer nach Bedarf bewertet werden, um zu testen, ob die Kontrolle implementiert wurde und effektiv funktioniert.

Das Management bestimmt den Umfang des ISMS für Zertifizierungszwecke und kann es auf eine einzelne Geschäftseinheit oder -stunde beschränken. Das ISO/IEC 27001 -Zertifikat bedeutet nicht unbedingt, dass der Rest der Organisation außerhalb des Scoped -Bereichs einen angemessenen Ansatz für das Informationssicherheitsmanagement hat.

Andere Standards in der ISO/IEC 27000 Standardsfamilie Bereitstellung zusätzlicher Anleitungen zu bestimmten Aspekten beim Entwerfen, Implementieren und Betrieb von ISMS, beispielsweise zum Risikomanagement des Informationssicherheitsrisikos (ISO/IEC 27005).

Geschichte von ISO/IEC 27001

BS 7799 war ein Standard, der ursprünglich veröffentlicht wurde von BSI -Gruppe[6] 1995. Es wurde von der britischen Regierung geschrieben Abteilung für Handel und Industrie (DTI) und bestand aus mehreren Teilen.

Der erste Teil, der die Best Practices für das Informationssicherheitsmanagement enthielt, wurde 1998 überarbeitet. Nach einer langen Diskussion in den weltweiten Standards wurde es schließlich von ISO als ISO/IEC 17799, "Informationstechnologie - Praxiskodex für Informationssicherheitsmanagement" übernommen. Im Jahr 2000 wurde ISO/IEC 17799 dann im Juni 2005 überarbeitet und schließlich in die ISO 27000 -Serie von Standards als Standards aufgenommen ISO/IEC 27002 Im Juli 2007.

Der zweite Teil von BS7799 wurde erstmals von BSI 1999 veröffentlicht, bekannt als BS 7799 Teil 2 mit dem Titel "Informationssicherheitsmanagementsysteme - Spezifikation mit Leitlinien für die Verwendung". BS 7799-2 konzentrierte sich auf die Implementierung eines Informationssicherheitsmanagementsystems (ISMS) unter Bezugnahme auf die in BS 7799-2 identifizierte Struktur für Informationssicherheitsverwaltung und -steuerung. Dies wurde später ISO/IEC 27001: 2005. BS 7799 Teil 2 wurde von ISO als ISO/IEC 27001 im November 2005 übernommen.

BS 7799 Teil 3 wurde 2005 veröffentlicht und umfasst die Risikoanalyse und -management. Es richtet sich an ISO/IEC 27001: 2005.

Im Zusammenhang mit ISO/IEC 27001 wird auf einen der BS -Standards nur sehr wenig Bezug genommen.

Zertifizierung

Ein ISMS kann nach einer Reihe von ISO/IEC 27001 konform sein Akkreditierte Registrare weltweit.[7] Zertifizierung Gegen einen der anerkannten nationalen Varianten von ISO/IEC 27001 (z. B. JIS Q 27001, der japanischen Version) durch eine akkreditierte Zertifizierungsstelle entspricht funktional der Zertifizierung gegen ISO/IEC 27001 selbst.

In einigen Ländern werden die Einrichtungen, die die Konformität von Managementsystemen zu bestimmten Standards überprüfen, als "Zertifizierungsstellen" bezeichnet, während sie in anderen Fällen häufig als "Registrierungsstellen", "Bewertungs- und Registrierungsstellen", "Zertifizierungs-/ Registrierungsstellen", bezeichnet werden. und manchmal "Registrare".

Die ISO/IEC 27001 -Zertifizierung,[8] Wie bei anderen ISO-Management-Systemzertifizierungen beinhaltet in der Regel einen dreistufigen externen Prüfprozess, der vom ISO/IEC 17021 definiert ist[9] und ISO/IEC 27006[10] Standards:

  • Bühne 1 ist eine vorläufige, informelle Überprüfung der ISMs, beispielsweise die Existenz und Vollständigkeit der Schlüsseldokumentation wie die Informationssicherheitsrichtlinie der Organisation, die Anwendbarkeitserklärung (SOA) und den Risikobehandlungsplan (RTP). Diese Phase dient dazu, die Prüfer mit der Organisation vertraut zu machen und umgekehrt.
  • Stufe 2 ist eine detailliertere und formelle Konformität Prüfung, unabhängig voneinander testen die ISMs gegen die in ISO/IEC 27001 angegebenen Anforderungen. Die Prüfer suchen nach Beweisen, um zu bestätigen, dass das Verwaltungssystem ordnungsgemäß gestaltet und implementiert wurde und tatsächlich im Betrieb ist (zum Beispiel durch Bestätigung, dass ein Sicherheitsausschuss oder ein ähnliches Ausschuss oder ähnlich Die Managementbehörde trifft sich regelmäßig, um die ISMS zu überwachen). Zertifizierungsprüfungen werden normalerweise von durchgeführt ISO/IEC 27001 Lead -Wirtschaftsprüfer. Das Bestehen dieser Stufe führt dazu, dass die ISMs mit ISO/IEC 27001 konform sind.
  • Laufend Beinhaltet Follow-up-Bewertungen oder Audits, um zu bestätigen, dass die Organisation im Einklang mit dem Standard bleibt. Die Zertifizierungswartung erfordert eine regelmäßige erneute Bewertung von Audits, um zu bestätigen, dass das ISMS wie angegeben und beabsichtigt weiter funktioniert. Diese sollten mindestens jährlich auftreten, aber (nach Übereinstimmung mit dem Management) werden häufig häufiger durchgeführt, insbesondere während der ISMS immer noch reift.

Struktur des Standards

Der offizielle Titel des Standards lautet "Informationstechnologie - Sicherheitstechniken - Informationssicherheitsmanagementsysteme - Anforderungen"

ISO/IEC 27001: 2013 hat zehn kurze Klauseln sowie einen langen Anhang, der Cover:

1. Umfang des Standards
2. Wie auf das Dokument verwiesen wird
3. Wiederverwendung der Begriffe und Definitionen in ISO/IEC 27000
4. Organisatorischer Kontext und Stakeholder
5. Führung der Informationssicherheit und Unterstützung auf hoher Ebene für Richtlinien
6. Planung an System für Informationssicherheitsmanagementsysteme; Risikoabschätzung; Risikobehandlung
7. Unterstützung eines Systems für Informationssicherheitsmanagementsysteme
8. Erstellen eines Informationssicherheitsmanagementsystems in Betrieb
9. Überprüfung der Leistung des Systems
10. Korrekturmaßnahme
Anhang A: Liste von Kontrollen und ihre Ziele

Diese Struktur spiegelt andere Verwaltungsstandards wie z. ISO 22301 (Wirtschaftskontinuitätsmanagement) und dies hilft Unternehmen, die Standards für die Verwaltungssysteme zu entsprechen, wenn sie dies wünschen. Anhänge B und C von 27001: 2005 wurden entfernt.

Kontrollen

Klausel 6.1.3 beschreibt, wie eine Organisation auf Risiken mit einem Risikobehandlungsplan reagieren kann. Ein wichtiger Teil davon ist die Auswahl geeigneter Kontrollen. Eine sehr wichtige Änderung in ISO/IEC 27001: 2013 besteht darin, dass es jetzt nicht erforderlich ist, den Anhang A zu verwenden, um die Risiken für Informationssicherheit zu verwalten. Die vorherige Version bestand darauf, dass in der Risikobewertung zur Verwaltung der Risiken identifizierten Kontrollen aus Anhang A ausgewählt worden sein müssen Die zunehmende Anzahl von Risikobewertungen in der neuen Version verwendet Anhang A nicht als Kontrollsatz. Dies ermöglicht es der Risikobewertung, für die Organisation einfacher und viel sinnvoller zu sein, und hilft erheblich bei der Festlegung eines angemessenen Eigentumsgefühls sowohl der Risiken als auch der Kontrollen. Dies ist der Hauptgrund für diese Änderung in der neuen Version.

Es gibt 114 Kontrollen in 14 Gruppen und 35 Kontrollkategorien:

A.5: Richtlinien für Informationssicherheit (2 Kontrollen)
A.6: Organisation der Informationssicherheit (7 Kontrollen)
A.7: Personalsicherheit - 6 Kontrollen, die vor, während oder nach der Beschäftigung angewendet werden
A.8: Vermögensverwaltung (10 Kontrollen)
A.9: Zugangskontrolle (14 Steuerelemente)
A.10: Kryptographie (2 Kontrollen)
A.11: Physische und Umweltsicherheit (15 Kontrollen)
A.12: Operations Security (14 Kontrollen)
A.13: Kommunikationssicherheit (7 Kontrollen)
A.14: Systemakquisition, Entwicklung und Wartung (13 Kontrollen)
A.15: Lieferantenbeziehungen (5 Kontrollen)
A.16: Management für Informationssicherheit (7 Kontrollen)
A.17: Aspekte der Informationssicherheit des Geschäftskontinuitätsmanagements (4 Kontrollen)
A.18: Compliance; mit internen Anforderungen wie Richtlinien und externen Anforderungen wie Gesetzen (8 Kontrollen)

Die Kontrollen spiegeln Änderungen der Technologie wider, die viele Organisationen betreffen - zum Beispiel: Cloud Computing- Aber wie oben angegeben, ist es möglich, ISO/IEC 27001: 2013 zertifiziert zu werden und keine dieser Kontrollen zu verwenden.

Siehe auch

Verweise

  1. ^ "ISO/IEC 27001 Internationaler Informationssicherheitsstandard veröffentlicht". bSigroup.com. BSI. Abgerufen 21. August 2020.
  2. ^ Vogel, Katie. "Neue Version von ISO/IEC 27001, um die IT -Sicherheitsrisiken besser anzugehen". ISO.org. ISO. Abgerufen 21. August 2020.
  3. ^ "ISO/IEC 27001: 2013". ISO. ISO. Abgerufen 9. Juli 2020.
  4. ^ "BS EN ISO/IEC 27001: 2017 - Was hat sich geändert?". www.biGroup.com. BSI -Gruppe. Abgerufen 29. März 2018.
  5. ^ Akinyemi, Iretioluwa; Schatz, Daniel; Bashhroush, Rabih (2020). "SWOT -Analyse des Informationssicherheitsmanagementsystems ISO 27001". Internationales Journal of Services Operations und Informatik. 10 (4): 305. doi:10.1504/ijsoi.2020.111297. ISSN 1741-539x.
  6. ^ "Fakten und Figuren". bSigroup.com.
  7. ^ Ferreira, Lindemberg Naffah; da Silva Constant, Silvana Maria; de Moraes Zebral, Alessandro Marcio; Braga, Rogerio Zupo; Alvarenga, Helenice; Ferreira, Soraya Naffah (Oktober 2013). "ISO 27001 Zertifizierungsprozess der elektronischen Rechnung im Bundesstaat Minas Gerais". 2013 47. International Carnahan Conference on Security Technology (ICCST). Medellin: IEEE: 1–4. doi:10.1109/ccst.2013.6922072. ISBN 978-1-4799-0889-9. S2CID 17485185.
  8. ^ Der ISO/IEC 27001 -Zertifizierungsprozess.
  9. ^ ISO/IEC 17021.
  10. ^ ISO/IEC 27006.

Externe Links