Häufig gestellte Frage

Informationssicherheit - Normen und Standards
Zuletzt aktualisiert vor einem Jahr

Normen und Standards

Die Organisationen ISO und IEC haben eine Sammlung von mehr als 20 Normen verfasst, die für die Informationssicherheit relevant sind. Diese sind im Nummernkreis 2700X zusammengefasst. Alle diese Normen beschreiben Teilgebiete des Information Security Management bzw. der IT-Sicherheit.

Interessant für das Thema "ISMS" ist vor allem die Norm ISO/IEC 27001. Sie enthält Vorgaben für die Umsetzung, Aufrechterhaltung und fortlaufende Verbesserung eines dokumentierten Informationssicherheits-Managementsystems. Ebenso finden sich in dieser Norm Anforderungen für die Beurteilung von Sicherheitsrisiken. Hierbei berücksichtigt die Norm die speziellen Erfordernisse aller Arten von Organisationen, von Handelsunternehmen bis hin zu Non-Profit-Organisationen.

Für Unternehmen empfiehlt sich in den meisten Fällen eine Zertifizierung nach ISO27001. Im Rahmen einer solchen Zertifizierung stellt ein externer Auditor die Umsetzung bzw. Erfüllung der Anforderungen der Norm fest. Die Auswertung des Auditberichts und die Erteilung des Zertifikats erfolgt dann durch eine ausgewiesene Zertifizierungsstelle.

Eine erfolgreiche Zertifizierung ist für jedes Unternehmen grundsätzlich von Vorteil. So zeigen sie die Einführung und Umsetzung eines wirksamen ISMS gegenüber Kunden und Geschäftspartnern.

ISO 27005 – IT Risikomanagement

Während sich die Norm ISO/IEC 27001 mit den Anforderungen an ein ISMS beschäftigt, beschreibt die ISO 27005 den Themenkomplex “Risikoanalyse und -management”. Dabei liefert die Norm eine genaue Anleitung zur IT-Risikoanalyse. Sie beinhaltet eine genaue Beschreibung der Prozesse, um eine effiziente Risikoanalyse zu etablieren. Darüber hinaus bietet die ISO 27005 ebenso eine detaillierte Schilderung der einzelnen Prozessschritte.

Den Schwerpunkt bildet hierbei die Einschätzung von Risiken und der Umgang damit. Die Werte eines Unternehmens werden durch verschiedene Faktoren direkt oder indirekt bedroht. Schwachstellen in Systemen oder Prozessen oder verschiedene Arten von Impacts sind hier zu nennen.

Neben der reinen Identifizierung von Risiken gehört natürlich auch das Management der Maßnahmen in diesen Bereich. Dabei wird aus den Anhängen der ISO 27005 auf die ISO 27001 referenziert. Durch diese Verknüpfung wird ein systematisches, dokumentiertes Vorgehen und die stetige Verbesserung der Prozesse erreicht.

Bitte warten!

Bitte warten... es dauert eine Sekunde!