ISO/IEC 27000-Serie - ISO/IEC 27000-series

Die ISO/IEC 27000-Reihe (auch bekannt als „ISMS Family of Standards“ oder kurz „ISO27K“) umfasst Informationssicherheitsstandards, die gemeinsam von der International Organization for Standardization (ISO) und der International Electrotechnical Commission (IEC) veröffentlicht wurden.

Die Reihe bietet Best-Practice- Empfehlungen zum Informationssicherheitsmanagement – ​​dem Management von Informationsrisiken durch Informationssicherheitskontrollen – im Kontext eines umfassenden Informationssicherheitsmanagementsystems (ISMS), das ähnlich aufgebaut ist wie Managementsysteme zur Qualitätssicherung (Reihe ISO 9000). , Umweltschutz (die ISO 14000-Reihe) und andere Managementsysteme.

Die Reihe ist bewusst breit angelegt und deckt mehr als nur Datenschutz, Vertraulichkeit und IT-/Technik-/Cybersicherheitsfragen ab. Es gilt für Organisationen jeder Art und Größe. Alle Organisationen werden ermutigt, ihre Informationsrisiken zu bewerten und sie dann (in der Regel unter Verwendung von Informationssicherheitskontrollen) entsprechend ihren Bedürfnissen zu behandeln und gegebenenfalls die Leitlinien und Vorschläge zu verwenden. Angesichts der dynamischen Natur des Informationsrisikos und der Informationssicherheit umfasst das ISMS-Konzept kontinuierliches Feedback und Verbesserungsaktivitäten, um auf Änderungen der Bedrohungen, Schwachstellen oder Auswirkungen von Vorfällen zu reagieren.

Die Standards sind das Produkt von ISO/IEC JTC1 (Joint Technical Committee 1) SC27 (Subcommittee 27) , einer internationalen Organisation , die zweimal im Jahr persönlich zusammentritt.

Die ISO/IEC-Standards werden direkt von der ISO vertrieben, meist in Englisch, Französisch und Chinesisch. Verkaufsstellen, die mit verschiedenen nationalen Normungsgremien verbunden sind, verkaufen auch direkt übersetzte Versionen in andere Sprachen.

Frühe Geschichte

Viele Personen und Organisationen sind an der Entwicklung und Pflege der ISO27K-Standards beteiligt. Der erste Standard dieser Reihe war ISO/IEC 17799:2000; dies war eine schnelle Verfolgung des bestehenden britischen Standards BS 7799 Teil 1:1999 Die erste Veröffentlichung von BS 7799 basierte teilweise auf einem Handbuch zur Informationssicherheit, das von der Royal Dutch/Shell Group in den späten 1980er und frühen 1990er Jahren entwickelt wurde . 1993 berief das damalige Handels- und Industrieministerium (Großbritannien) ein Team ein, um die bestehende Praxis der Informationssicherheit zu überprüfen, mit dem Ziel, ein Standarddokument zu erstellen. 1995 veröffentlichte die BSI-Gruppe die erste Version der BS 7799 . Einer der Hauptautoren von BS 7799 erinnert sich daran, dass "das DTI Anfang 1993 beschloss, schnell eine Gruppe von Industrievertretern aus sieben verschiedenen Sektoren zusammenzustellen: Shell ([David Lacey] und Les Riley), BOC Group (Neil Twist ), BT (Dennis Willets), Marks & Spencer (Steve Jones), Midland Bank (Richard Hackworth), Nationwide (John Bowles) und Unilever (Rolf Moulton). David Lacey schreibt Donn B. Parker die "ursprüngliche Idee der Einrichtung einer Reihe von Informationssicherheitskontrollen" zu und für die späten 1980er Jahre ein Dokument mit einer "Sammlung von etwa hundert Basiskontrollen" für "die I-4-Informationen" erstellt zu haben Sicherheitskreis, den er konzipiert und gegründet hat.

Veröffentlichte Normen

Die veröffentlichten ISO27K-Standards zum Thema "Informationstechnologie - Sicherheitstechniken" sind:

  1. ISO/IEC 27000 – Informationssicherheitsmanagementsysteme – Übersicht und Vokabular
  2. ISO/IEC 27001 – Informationstechnologie – Sicherheitstechniken – Informationssicherheitsmanagementsysteme – Anforderungen. Die Version 2013 der Norm spezifiziert ein Informationssicherheits-Managementsystem auf die gleiche formalisierte, strukturierte und prägnante Weise wie andere ISO-Normen andere Arten von Managementsystemen spezifizieren.
  3. ISO/IEC 27002 – Verhaltenskodex für Informationssicherheitskontrollen (im Wesentlichen ein detaillierter Katalog von Informationssicherheitskontrollen, die über das ISMS verwaltet werden könnten)
  4. ISO/IEC 27003Leitfaden zur Implementierung von Informationssicherheitsmanagementsystemen
  5. ISO/IEC 27004 – Informationssicherheitsmanagement – ​​Überwachung, Messung, Analyse und Bewertung
  6. ISO/IEC 27005 – Informationssicherheits-Risikomanagement
  7. ISO/IEC 27006 – Anforderungen an Stellen, die Audits und Zertifizierungen von Informationssicherheitsmanagementsystemen durchführen
  8. ISO/IEC 27007 – Richtlinien für die Auditierung von Informationssicherheitsmanagementsystemen (mit Schwerpunkt auf der Auditierung des Managementsystems)
  9. ISO/IEC TR 27008 – Leitfaden für Auditoren zu ISMS-Kontrollen (mit Schwerpunkt auf der Prüfung der Informationssicherheitskontrollen)
  10. ISO/IEC 27009 – Im Wesentlichen ein internes Dokument für das Komitee, das branchen-/industriespezifische Varianten oder Implementierungsrichtlinien für die ISO27K-Standards entwickelt
  11. ISO/IEC 27010 – Informationssicherheitsmanagement für die sektor- und organisationsübergreifende Kommunikation
  12. ISO/IEC 27011 – Richtlinien für das Informationssicherheitsmanagement für Telekommunikationsunternehmen basierend auf ISO/IEC 27002
  13. ISO/IEC 27013 – Leitlinie zur integrierten Umsetzung von ISO/IEC 27001 und ISO/IEC 20000-1
  14. ISO/IEC 27014 – Governance der Informationssicherheit. (Mahncke hat diesen Standard im Kontext der australischen E-Health bewertet.)
  15. ISO/IEC TR 27015 – Richtlinien für das Informationssicherheitsmanagement für Finanzdienstleistungen (jetzt zurückgezogen)
  16. ISO/IEC TR 27016 – Ökonomie der Informationssicherheit
  17. ISO/IEC 27017 – Verhaltenskodex für Informationssicherheitskontrollen basierend auf ISO/IEC 27002 für Cloud-Dienste
  18. ISO/IEC 27018 – Verhaltenskodex für den Schutz personenbezogener Daten (PII) in öffentlichen Clouds, die als PII-Verarbeiter fungieren
  19. ISO/IEC 27019 – Informationssicherheit für die Prozesssteuerung in der Energiewirtschaft
  20. ISO/IEC 27021 – Kompetenzanforderungen für Fachleute für Informationssicherheitsmanagementsysteme
  21. ISO/IEC TS 27022 – Leitlinien zu Prozessen des Informationssicherheitsmanagementsystems – In Entwicklung
  22. ISO/IEC TR 27023 – Abbildung der überarbeiteten Ausgaben von ISO/IEC 27001 und ISO/IEC 27002
  23. ISO/IEC 27031 – Richtlinien für die Bereitschaft der Informations- und Kommunikationstechnologie für die Geschäftskontinuität
  24. ISO/IEC 27032 – Richtlinie für Cybersicherheit
  25. ISO/IEC 27033 – IT-Netzwerksicherheit
  26. ISO/IEC 27033-1 – Netzwerksicherheit – Teil 1: Übersicht und Konzepte
  27. ISO/IEC 27033-2 – Netzwerksicherheit – Teil 2: Richtlinien für den Entwurf und die Implementierung von Netzwerksicherheit
  28. ISO/IEC 27033-3 – Netzwerksicherheit – Teil 3: Referenznetzwerkszenarien – Bedrohungen, Designtechniken und Kontrollprobleme
  29. ISO/IEC 27033-4 – Netzwerksicherheit – Teil 4: Sichern der Kommunikation zwischen Netzwerken mithilfe von Sicherheits-Gateways
  30. ISO/IEC 27033-5 – Netzwerksicherheit – Teil 5: Sichern der Kommunikation über Netzwerke hinweg mithilfe von Virtual Private Networks (VPNs)
  31. ISO/IEC 27033-6 – Netzwerksicherheit – Teil 6: Sichern des drahtlosen IP-Netzwerkzugriffs
  32. ISO/IEC 27034-1 – Anwendungssicherheit – Teil 1: Leitfaden für Anwendungssicherheit
  33. ISO/IEC 27034-2 – Anwendungssicherheit – Teil 2: Organisationsnormativer Rahmen
  34. ISO/IEC 27034-3 – Anwendungssicherheit – Teil 3: Anwendungssicherheits-Managementprozess
  35. ISO/IEC 27034-4 – Anwendungssicherheit – Teil 4: Validierung und Verifizierung (in Entwicklung)
  36. ISO/IEC 27034-5 – Anwendungssicherheit – Teil 5: Protokolle und Anwendungssicherheit steuert Datenstruktur
  37. ISO/IEC 27034-5-1 – Anwendungssicherheit – Teil 5-1: Protokolle und Anwendungssicherheitskontrollen Datenstruktur, XML-Schemata
  38. ISO/IEC 27034-6 – Anwendungssicherheit – Teil 6: Fallstudien
  39. ISO/IEC 27034-7 – Anwendungssicherheit – Teil 7: Rahmen für die Zuverlässigkeitsvorhersage
  40. ISO/IEC 27035-1 – Informationssicherheits-Vorfallmanagement – ​​Teil 1: Prinzipien des Vorfallsmanagements
  41. ISO/IEC 27035-2 – Management von Informationssicherheitsvorfällen – Teil 2: Richtlinien zur Planung und Vorbereitung der Reaktion auf Vorfälle
  42. ISO/IEC 27035-3 – Informationssicherheits-Vorfallmanagement – ​​Teil 3: Richtlinien für IKT-Vorfallreaktionsvorgänge
  43. ISO/IEC 27035-4 – Management von Informationssicherheitsvorfällen – Teil 4: Koordination (in Entwicklung)
  44. ISO/IEC 27036-1 – Informationssicherheit für Lieferantenbeziehungen – Teil 1: Übersicht und Konzepte
  45. ISO/IEC 27036-2 – Informationssicherheit für Lieferantenbeziehungen – Teil 2: Anforderungen
  46. ISO/IEC 27036-3 – Informationssicherheit für Lieferantenbeziehungen – Teil 3: Richtlinien für die Sicherheit der Lieferkette der Informations- und Kommunikationstechnologie
  47. ISO/IEC 27036-4 – Informationssicherheit für Lieferantenbeziehungen – Teil 4: Richtlinien für die Sicherheit von Cloud-Diensten
  48. ISO/IEC 27037 – Richtlinien für die Identifizierung, Sammlung, den Erwerb und die Aufbewahrung digitaler Beweise
  49. ISO/IEC 27038 – Spezifikation für die digitale Redaktion digitaler Dokumente
  50. ISO/IEC 27039 – Intrusion Prevention
  51. ISO/IEC 27040 – Speichersicherheit
  52. ISO/IEC 27041 – Untersuchungssicherheit
  53. ISO/IEC 27042 – Analyse digitaler Beweise
  54. ISO/IEC 27043 – Untersuchung von Vorfällen
  55. ISO/IEC 27050-1 – Elektronische Erkennung – Teil 1: Übersicht und Konzepte
  56. ISO/IEC 27050-2 – Elektronische Erkennung – Teil 2: Leitlinien für Governance und Management der elektronischen Erkennung
  57. ISO/IEC 27050-3 – Elektronische Erkennung – Teil 3: Verhaltenskodex für die elektronische Erkennung
  58. ISO/IEC TS 27110 – Informationstechnologie, Cybersicherheit und Datenschutz – Richtlinien zur Entwicklung des Cybersecurity-Frameworks
  59. ISO/IEC 27701 – Informationstechnologie – Sicherheitstechniken – Informationssicherheitsmanagementsysteme – Privacy Information Management System (PIMS).
  60. ISO 27799 – Informationssicherheitsmanagement im Gesundheitswesen nach ISO/IEC 27002 (führt Organisationen der Gesundheitsbranche zum Schutz personenbezogener Gesundheitsdaten nach ISO/IEC 27002)

In Vorbereitung

  • Weitere ISO27K-Standards sind in Vorbereitung, die Aspekte wie digitale Forensik und Cybersicherheit umfassen, während die veröffentlichten ISO27K-Standards routinemäßig in einem etwa fünfjährigen Zyklus überprüft und aktualisiert werden.

Siehe auch

Verweise