ISO 27001

ISO 27000 ist eine Reihe von Informationssicherheitsstandards zur Bewertung und Zertifizierung von IT-Produkten und -Systemen. Die wichtigste Norm in dieser Reihe ist ISO 27001, welche Bedrohungen wie Datenverlust, Missbrauch vertraulicher Informationen, IT-Ausfallzeiten und Stillstand des Geschäftsbetriebs sowie wirksame Schutzmaßnahmen dagegen definiert. Die Bewertung dieser Bedrohungen und die entsprechenden Maßnahmen werden in einem kontinuierlichen "Plan, Do, Check, Act"-Zyklus umgesetzt und überprüft. Sie sind unabhängig von der Art, Größe, Aufgabe und Struktur der Organisation. Der individuelle Bedarf und die genaue Spezifikation von Gegenmaßnahmen, die mit der ISO 27000 Serie umgesetzt werden, wird auf die individuelle Situation jeder Organisation mit einer Stakeholder- und Risikoanalyse bewertet und mit einem maßgeschneiderten Sicherheitskonzept als Ergebnis beantwortet. ³⁴

Der Prozess zur Erlangung der ISO 27001-Zertifizierung und zur Aufrechterhaltung einer hohen Informationssicherheit in einer Organisation kann durch einen PDCA-Zyklus erreicht werden.

In der Plan-Phase müssen die Richtlinien, Ziele, Prozesse und Verfahren definiert werden, die für die Aufrechterhaltung eines hohen Niveaus an Informationssicherheit erforderlich sind.

In der Do-Phase müssen diese definierten Elemente umgesetzt und eingeführt werden, um dann in der Check-Phase auf ihre Effektivität und Fähigkeit, die gewünschten Ziele zu erreichen, überprüft zu werden.

Falls Korrekturmaßnahmen ergriffen werden müssen, kann dies in der Act-Phase geschehen, wonach der Zyklus iterativ wiederholt wird.

In Übereinstimmung mit anderen verwandten Normen definiert die ISO 10 Kernklauseln, die für eine erfolgreiche Implementierung und Aufrechterhaltung der ISO 27001-Normen beachtet und eingehalten werden müssen.

Diese lauten:

1. Scope
2. Normative References
3. Terms and Definitions
4. Context of the Organisation
5. Leadership
6. Planning
7. Suppport
8. Operation
9. Performance
10. Improvement

Weitere Informationen über die Zertifizierung nach ISO 27001 finden Sie auf der ISO Website, dem Implementation Guide von NQA oder PECBs White Paper zur Norm.

Alle Informationen für die Beschreibung des ISO 27001 Prozesses stammen aus: ^{49; 50; 51}