Das Kefk Network Wiki befindet sich im Testbetrieb.

---

Aus Kefk.

Die internationale Norm ISO/IEC 27001:2005, „Information technology – Security techniques – Information security management systems – Requirements“ spezifiziert die Anforderungen für Herstellung, Einführung, Betrieb, Überwachung, Wartung, und Verbesserung eines dokumentierten Informationssicherheits-Managementsystems unter Berücksichtigung der Risiken innerhalb der gesamten Organisation. Hierbei werden sämtliche Arten von Organisationen (z. B. Handelsunternehmen, staatliche Organisationen, Non-Profitorganisationen) berücksichtigt.

Die Norm spezifiziert Anforderungen für die Implementierung von geeigneten Sicherheitsmechanismen, welche an die Gegebenheiten der einzelnen Organisationen adaptiert werden sollen.

Die ISO/IEC 27001:2005 wurde entworfen, um die Auswahl geeigneter Sicherheitsmechanismen zum Schutz sämtlicher IT-Assets sicherzustellen.

Inhaltsverzeichnis 1 Entwicklung 2 Anwendung 3 Weitere Normen der ISO 27000 Reihe 4 Weblinks

Entwicklung

Die ISO/IEC 27001:2005 wurde aus dem britischen Standard BS 7799-2:2002 entwickelt und als internationale Norm erstmals am 15. Oktober 2005 veröffentlicht.

Anwendung

Die ISO/IEC 27001:2005 soll für verschiedene Bereiche anwendbar sein, insbesondere:

• Zur Formulierung von Anforderungen und Zielsetzungen zur Informationssicherheit
• Zum kosteneffizienten Management von Sicherheitsrisiken
• Zur Sicherstellung der Konformität mit Gesetzen und Regulatorien
• Als Prozessrahmen für die Implementierung und das Management von Maßnahmen zur Sicherstellung von spezifischen Zielen zur Informationssicherheit
• Zur Definition von neuen Informationssicherheits-Managementprozessen
• Zur Identifikation und Definition von bestehenden Informationssicherheits-Managementprozessen
• Zur Definition von Informationssicherheits-Managementtätigkeiten
• Zum Gebrauch durch interne und externen Auditoren zur Feststellung des Umsetzungsgrades von Richtlinien und Standards

Weitere Normen der ISO 27000 Reihe

ISO 27000 wird Begriffe und Definitionen enthalten, welche in der Normenserie ISO 27000 verwendet werden.

ISO 27002 wird weitgehend den Inhalt der ISO 17799:2005 enthalten.
Am 15. Juni 2005 wurde der Leitfaden ISO/IEC 17799:2005 Information technology – Security techniques – Code of practice for information security management veröffentlicht, der auf BS 7799-1 fußt. Wird in Zukunft als Leitfaden ISO/IEC 27002:2007 veröffentlicht werden.

ISO 27003 soll einen Leitfaden zur Umsetzung der ISO 27001/2 enthalten.

ISO FCD 27004 hat den Arbeitstitel "Information Security Management Measurement".

ISO FCD 27005 ist an den BS 7799-3 angelehnt und behandelt Thema IS Risikomanagement (als Entwurf 11/2006 verfügbar).

ISO 27006:2007 "Information technology - Security techniques - Requirements for bodies providing audit and certification of information security management systems" (in Kraft getreten am 1.3.2007) regelt die Kriterien, nach den Stellen arbeiten müssen, die Informationssicherheits- und Managementsysteme nach ISO 27001 auditieren und zertifizieren wollen.

ISO 27007 Auditoren-Richtlinien (derzeit Studienperiode).

Weblinks

• ISO 27001 - engl.
• British Standards Institution - engl.
• ISO 17799 and 27001 wiki - engl.

Dieses Dokument entstammt in seiner ersten oder einer späteren Version der deutschsprachigen Wikipedia. Es ist dort zu finden unter dem Stichwort ISO_27001, die Liste der bisherigen Autoren befindet sich in der Versionsliste; die Originalfassung kann dort auch bearbeitet werden. Alle Texte der Wikipedia und ihre Derivate stehen unter der GNU-Lizenz für freie Dokumentation.