Informationssicherheit ist heute (über-)lebensnotwendig für Organisationen aller Art. Vertraulichkeit, Integrität und Verfügbarkeit von Information werden zum strategischen Erfolgsfaktor, wenn es um das Vertrauen der Kunden, Geschäftspartner und der Öffentlichkeit geht.
Heinrich A. Bieler
Head of Division Certifications
cs@safetycenter.ch
Tel.: +41 44 877 62 30
ISO/IEC 27001:2013 ist der weltweit angewendete Standard für die Zertifizierung eines Informationssicherheitsmanagementsystems. Dieses hat zum Ziel, die Informationen basierend auf einer Analyse der Geschäftsrisiken bezüglich Vertraulichkeit, Integrität und Verfügbarkeit zu schützen.
ISO/IEC 27001:2013 ist gleich strukturiert wie die ISO 9001:2015, beinhaltet aber nicht die Geschäftsprozesse, sondern die Massnahmen zur Sicherstellung der Informationssicherheit. Ein ISO 9001:2015 kompatibles Managementsystem ist zwar nicht Voraussetzung, aber die ideale Basis. Fehlt es, müssen noch die Prozesse beschrieben werden, in die die Massnahmen eingebettet werden.
Entwicklung
Der Vorgänger der ISO/IEC 27001:2013 ist ISO/IEC 27001:2005, die fast unverändert von dem britischen Standard BS 7799-2 übernommen wurde. Bereits 1993 hat das Department of Trade and Industry (DTI) in UK eine Sammlung von Best Practices in der Informationssicherheit – den Code of Practice – herausgegeben, der 1995 zum British Standard BS 7799-1 wurde. Er gewann im angelsächsischen Raum sehr schnell an Popularität und der Wunsch nach der Möglichkeit einer Zertifizierung wuchs. Um dem zu entsprechen wurde mit dem BS 7799-2 ein Anforderungskatalog erstellt, nach dem sich eine Organisation zertifizieren lassen konnte. Zwar erfuhren beide Standards international eine sehr hohe Anerkennung, doch blieben sie mehrheitlich Insidern vorbehalten, bis im Jahre 2000 zunächst der BS 7799-1 zur ISO 17799 wurde und 5 Jahre später der BS 7799-2 zur ISO/IEC 27001. Es war geplant, eine ganze Normenfamilie zur Informationssicherheit aufzubauen. Zunächst wurde 2007 die ISO 17799 in ISO/IEC 27002 umbenannt. Weitere Normen sind bereits veröffentlicht oder werden folgen:
Trends
Mit der ISO/IEC 27017:2015 ist eine Guideline für Cloud Services und ISO/IEC 27018:2019 für personenbezogene Daten in Clouds.
ISO/IEC 27701:2019 ist eine Erweiterung um Controls für Datenschutzaspekte. Das ist natürlich besonders interessant im Zusammenhang mit der DSGVO (EU) und dem neuen Datenschutzgesetz in der Schweiz (publiziert am 25.09.2020).
Das sind alles Erweiterungen von ISO/IEC 27001 und können gegebenenfalls zusammen zertifiziert werden.
Schreibe einen Kommentar