ISO/IEC 27000-Serie - ISO/IEC 27000-series
Die ISO/IEC 27000-Reihe (auch bekannt als „ISMS Family of Standards“ oder kurz „ISO27K“) umfasst Informationssicherheitsstandards, die gemeinsam von der International Organization for Standardization (ISO) und der International Electrotechnical Commission (IEC) veröffentlicht wurden.
Die Reihe bietet Best-Practice- Empfehlungen zum Informationssicherheitsmanagement – dem Management von Informationsrisiken durch Informationssicherheitskontrollen – im Kontext eines umfassenden Informationssicherheitsmanagementsystems (ISMS), das ähnlich aufgebaut ist wie Managementsysteme zur Qualitätssicherung (Reihe ISO 9000). , Umweltschutz (die ISO 14000-Reihe) und andere Managementsysteme.
Die Reihe ist bewusst breit angelegt und deckt mehr als nur Datenschutz, Vertraulichkeit und IT-/Technik-/Cybersicherheitsfragen ab. Es gilt für Organisationen jeder Art und Größe. Alle Organisationen werden ermutigt, ihre Informationsrisiken zu bewerten und sie dann (in der Regel unter Verwendung von Informationssicherheitskontrollen) entsprechend ihren Bedürfnissen zu behandeln und gegebenenfalls die Leitlinien und Vorschläge zu verwenden. Angesichts der dynamischen Natur des Informationsrisikos und der Informationssicherheit umfasst das ISMS-Konzept kontinuierliches Feedback und Verbesserungsaktivitäten, um auf Änderungen der Bedrohungen, Schwachstellen oder Auswirkungen von Vorfällen zu reagieren.
Die Standards sind das Produkt von ISO/IEC JTC1 (Joint Technical Committee 1) SC27 (Subcommittee 27) , einer internationalen Organisation , die zweimal im Jahr persönlich zusammentritt.
Die ISO/IEC-Standards werden direkt von der ISO vertrieben, meist in Englisch, Französisch und Chinesisch. Verkaufsstellen, die mit verschiedenen nationalen Normungsgremien verbunden sind, verkaufen auch direkt übersetzte Versionen in andere Sprachen.
Frühe Geschichte
Viele Personen und Organisationen sind an der Entwicklung und Pflege der ISO27K-Standards beteiligt. Der erste Standard dieser Reihe war ISO/IEC 17799:2000; dies war eine schnelle Verfolgung des bestehenden britischen Standards BS 7799 Teil 1:1999 Die erste Veröffentlichung von BS 7799 basierte teilweise auf einem Handbuch zur Informationssicherheit, das von der Royal Dutch/Shell Group in den späten 1980er und frühen 1990er Jahren entwickelt wurde . 1993 berief das damalige Handels- und Industrieministerium (Großbritannien) ein Team ein, um die bestehende Praxis der Informationssicherheit zu überprüfen, mit dem Ziel, ein Standarddokument zu erstellen. 1995 veröffentlichte die BSI-Gruppe die erste Version der BS 7799 . Einer der Hauptautoren von BS 7799 erinnert sich daran, dass "das DTI Anfang 1993 beschloss, schnell eine Gruppe von Industrievertretern aus sieben verschiedenen Sektoren zusammenzustellen: Shell ([David Lacey] und Les Riley), BOC Group (Neil Twist ), BT (Dennis Willets), Marks & Spencer (Steve Jones), Midland Bank (Richard Hackworth), Nationwide (John Bowles) und Unilever (Rolf Moulton). David Lacey schreibt Donn B. Parker die "ursprüngliche Idee der Einrichtung einer Reihe von Informationssicherheitskontrollen" zu und für die späten 1980er Jahre ein Dokument mit einer "Sammlung von etwa hundert Basiskontrollen" für "die I-4-Informationen" erstellt zu haben Sicherheitskreis, den er konzipiert und gegründet hat.
Veröffentlichte Normen
Die veröffentlichten ISO27K-Standards zum Thema "Informationstechnologie - Sicherheitstechniken" sind:
- ISO/IEC 27000 – Informationssicherheitsmanagementsysteme – Übersicht und Vokabular
- ISO/IEC 27001 – Informationstechnologie – Sicherheitstechniken – Informationssicherheitsmanagementsysteme – Anforderungen. Die Version 2013 der Norm spezifiziert ein Informationssicherheits-Managementsystem auf die gleiche formalisierte, strukturierte und prägnante Weise wie andere ISO-Normen andere Arten von Managementsystemen spezifizieren.
- ISO/IEC 27002 – Verhaltenskodex für Informationssicherheitskontrollen (im Wesentlichen ein detaillierter Katalog von Informationssicherheitskontrollen, die über das ISMS verwaltet werden könnten)
- ISO/IEC 27003 – Leitfaden zur Implementierung von Informationssicherheitsmanagementsystemen
- ISO/IEC 27004 – Informationssicherheitsmanagement – Überwachung, Messung, Analyse und Bewertung
- ISO/IEC 27005 – Informationssicherheits-Risikomanagement
- ISO/IEC 27006 – Anforderungen an Stellen, die Audits und Zertifizierungen von Informationssicherheitsmanagementsystemen durchführen
- ISO/IEC 27007 – Richtlinien für die Auditierung von Informationssicherheitsmanagementsystemen (mit Schwerpunkt auf der Auditierung des Managementsystems)
- ISO/IEC TR 27008 – Leitfaden für Auditoren zu ISMS-Kontrollen (mit Schwerpunkt auf der Prüfung der Informationssicherheitskontrollen)
- ISO/IEC 27009 – Im Wesentlichen ein internes Dokument für das Komitee, das branchen-/industriespezifische Varianten oder Implementierungsrichtlinien für die ISO27K-Standards entwickelt
- ISO/IEC 27010 – Informationssicherheitsmanagement für die sektor- und organisationsübergreifende Kommunikation
- ISO/IEC 27011 – Richtlinien für das Informationssicherheitsmanagement für Telekommunikationsunternehmen basierend auf ISO/IEC 27002
- ISO/IEC 27013 – Leitlinie zur integrierten Umsetzung von ISO/IEC 27001 und ISO/IEC 20000-1
- ISO/IEC 27014 – Governance der Informationssicherheit. (Mahncke hat diesen Standard im Kontext der australischen E-Health bewertet.)
- ISO/IEC TR 27015 – Richtlinien für das Informationssicherheitsmanagement für Finanzdienstleistungen (jetzt zurückgezogen)
- ISO/IEC TR 27016 – Ökonomie der Informationssicherheit
- ISO/IEC 27017 – Verhaltenskodex für Informationssicherheitskontrollen basierend auf ISO/IEC 27002 für Cloud-Dienste
- ISO/IEC 27018 – Verhaltenskodex für den Schutz personenbezogener Daten (PII) in öffentlichen Clouds, die als PII-Verarbeiter fungieren
- ISO/IEC 27019 – Informationssicherheit für die Prozesssteuerung in der Energiewirtschaft
- ISO/IEC 27021 – Kompetenzanforderungen für Fachleute für Informationssicherheitsmanagementsysteme
- ISO/IEC TS 27022 – Leitlinien zu Prozessen des Informationssicherheitsmanagementsystems – In Entwicklung
- ISO/IEC TR 27023 – Abbildung der überarbeiteten Ausgaben von ISO/IEC 27001 und ISO/IEC 27002
- ISO/IEC 27031 – Richtlinien für die Bereitschaft der Informations- und Kommunikationstechnologie für die Geschäftskontinuität
- ISO/IEC 27032 – Richtlinie für Cybersicherheit
- ISO/IEC 27033 – IT-Netzwerksicherheit
- ISO/IEC 27033-1 – Netzwerksicherheit – Teil 1: Übersicht und Konzepte
- ISO/IEC 27033-2 – Netzwerksicherheit – Teil 2: Richtlinien für den Entwurf und die Implementierung von Netzwerksicherheit
- ISO/IEC 27033-3 – Netzwerksicherheit – Teil 3: Referenznetzwerkszenarien – Bedrohungen, Designtechniken und Kontrollprobleme
- ISO/IEC 27033-4 – Netzwerksicherheit – Teil 4: Sichern der Kommunikation zwischen Netzwerken mithilfe von Sicherheits-Gateways
- ISO/IEC 27033-5 – Netzwerksicherheit – Teil 5: Sichern der Kommunikation über Netzwerke hinweg mithilfe von Virtual Private Networks (VPNs)
- ISO/IEC 27033-6 – Netzwerksicherheit – Teil 6: Sichern des drahtlosen IP-Netzwerkzugriffs
- ISO/IEC 27034-1 – Anwendungssicherheit – Teil 1: Leitfaden für Anwendungssicherheit
- ISO/IEC 27034-2 – Anwendungssicherheit – Teil 2: Organisationsnormativer Rahmen
- ISO/IEC 27034-3 – Anwendungssicherheit – Teil 3: Anwendungssicherheits-Managementprozess
- ISO/IEC 27034-4 – Anwendungssicherheit – Teil 4: Validierung und Verifizierung (in Entwicklung)
- ISO/IEC 27034-5 – Anwendungssicherheit – Teil 5: Protokolle und Anwendungssicherheit steuert Datenstruktur
- ISO/IEC 27034-5-1 – Anwendungssicherheit – Teil 5-1: Protokolle und Anwendungssicherheitskontrollen Datenstruktur, XML-Schemata
- ISO/IEC 27034-6 – Anwendungssicherheit – Teil 6: Fallstudien
- ISO/IEC 27034-7 – Anwendungssicherheit – Teil 7: Rahmen für die Zuverlässigkeitsvorhersage
- ISO/IEC 27035-1 – Informationssicherheits-Vorfallmanagement – Teil 1: Prinzipien des Vorfallsmanagements
- ISO/IEC 27035-2 – Management von Informationssicherheitsvorfällen – Teil 2: Richtlinien zur Planung und Vorbereitung der Reaktion auf Vorfälle
- ISO/IEC 27035-3 – Informationssicherheits-Vorfallmanagement – Teil 3: Richtlinien für IKT-Vorfallreaktionsvorgänge
- ISO/IEC 27035-4 – Management von Informationssicherheitsvorfällen – Teil 4: Koordination (in Entwicklung)
- ISO/IEC 27036-1 – Informationssicherheit für Lieferantenbeziehungen – Teil 1: Übersicht und Konzepte
- ISO/IEC 27036-2 – Informationssicherheit für Lieferantenbeziehungen – Teil 2: Anforderungen
- ISO/IEC 27036-3 – Informationssicherheit für Lieferantenbeziehungen – Teil 3: Richtlinien für die Sicherheit der Lieferkette der Informations- und Kommunikationstechnologie
- ISO/IEC 27036-4 – Informationssicherheit für Lieferantenbeziehungen – Teil 4: Richtlinien für die Sicherheit von Cloud-Diensten
- ISO/IEC 27037 – Richtlinien für die Identifizierung, Sammlung, den Erwerb und die Aufbewahrung digitaler Beweise
- ISO/IEC 27038 – Spezifikation für die digitale Redaktion digitaler Dokumente
- ISO/IEC 27039 – Intrusion Prevention
- ISO/IEC 27040 – Speichersicherheit
- ISO/IEC 27041 – Untersuchungssicherheit
- ISO/IEC 27042 – Analyse digitaler Beweise
- ISO/IEC 27043 – Untersuchung von Vorfällen
- ISO/IEC 27050-1 – Elektronische Erkennung – Teil 1: Übersicht und Konzepte
- ISO/IEC 27050-2 – Elektronische Erkennung – Teil 2: Leitlinien für Governance und Management der elektronischen Erkennung
- ISO/IEC 27050-3 – Elektronische Erkennung – Teil 3: Verhaltenskodex für die elektronische Erkennung
- ISO/IEC TS 27110 – Informationstechnologie, Cybersicherheit und Datenschutz – Richtlinien zur Entwicklung des Cybersecurity-Frameworks
- ISO/IEC 27701 – Informationstechnologie – Sicherheitstechniken – Informationssicherheitsmanagementsysteme – Privacy Information Management System (PIMS).
- ISO 27799 – Informationssicherheitsmanagement im Gesundheitswesen nach ISO/IEC 27002 (führt Organisationen der Gesundheitsbranche zum Schutz personenbezogener Gesundheitsdaten nach ISO/IEC 27002)
In Vorbereitung
- Weitere ISO27K-Standards sind in Vorbereitung, die Aspekte wie digitale Forensik und Cybersicherheit umfassen, während die veröffentlichten ISO27K-Standards routinemäßig in einem etwa fünfjährigen Zyklus überprüft und aktualisiert werden.
Siehe auch
- ISO/IEC JTC 1/SC 27 - IT-Sicherheitstechniken
- BS 7799 , der ursprüngliche britische Standard, aus dem ISO/IEC 17799, ISO/IEC 27002 und ISO/IEC 27001 abgeleitet wurden
- Dokumenten-Management-System
- Sarbanes – Oxley Act
- Standard of Good Practice, veröffentlicht vom Information Security Forum