Heute kommen wir zur bekanntesten ISO-Norm zur Informationssicherheit: der ISO 27001 und alle angrenzenden Normen. In diesem Artikel soll nur kurz ein Überblick gegeben werden über die ISO 2700x-Normenreihe. In Artikeln über die einzelnen Normen werden dann die Details erläutert.

Überblick 27000-Reihe

  • ISO 27000: Gibt einen Überblick über die folgenden Normen und definiert das verwendete Vokabular
  • ISO 27001: Definiert Kriterien für ein Informationssicherheitsmanagementsystem (ISMS)
  • ISO 27002: Gibt Empfehlungen für die Kontrollmechanismen aus dem Anhang A der ISO 27001
  • ISO 27003: Nennt Richtlinien zur Einführung eines ISMS
  • ISO 27004: Enthält Metriken für ein ISMS
  • ISO 27005: Beschreibt das Informationssicherheitsrisikomanagement
  • ISO 27006: Richtlinien für Zertifizierungsstellen
  • ISO 27007: Richtlinien zum Audit
  • und eine Reihe weiterer Subnormen

Was ist der Zweck der ISO 2700x-Reihe?

Für die meisten Organisationen ist der Hauptzweck der ISO 2700x-Reihe eine Zertifizierung nach der ISO 27001, um ein gewisses Informationssicherheitsniveau nachzuweisen. Die wichtigste Norm dabei ist die ISO 27001, denn danach werden Organisationen zertifiziert, d.h. alles was in der ISO 27001 steht, sind Kriterien für die Zertifizierung. ALLE anderen Normen sind nur Empfehlungen, wenn es um die Zertifizierung eines Unternehmens geht.

Wichtig zu wissen ist, dass die ISO 2700x-Reihe auf einem relativ hohen Niveau Anforderungen an die Informationssicherheit stellt. Hier wird man nirgendwo etwas finden, wie „Mindestpasswortlänge muss 8 Zeichen sein“. Die ISO 27001, wie alle Managementnormen, gibt Anforderungen auf, wie „Du musst eine Authentifizierung etablieren.“. In der ISO 27002 werden dann evtl. Empfehlungen zur Umsetzung genannt, aber diese sind wiederrum nicht zwingend für eine Zertifizierung nach ISO 27001. Solange man sein eigenes Zugangskontrollsystem etabliert und begründet, ist dies ausreichend. Mehr dazu in folgenden Artikeln.

Wo kriegt man die ISO 2700x-Normen her?

Im deutschsprachigen Raum werden ISO-Normen immer vom Beuth Verlag vertrieben und sind meist kostenpflichtig (meist über 100 EUR für eine Norm!). Beim Beuth Verlag gibt es ein zusammengefasstes Taschenbuch für Informationssicherheit für unter 200 EUR. Hier sind alle relevanten Normen enthalten außer die ISO 27005.

Ein weiterer Tipp, um die ISO 27001 kostengünstig zu bekommen ist die Seite evs.ee. Hier kann man die zweisprachige Version in estnisch und englisch für einen geringen zweistelligen Eurobetrag erwerben.


2 Kommentare

Einführung in Informationssicherheitsmanagement – Maxanit Consulting · Juli 20, 2020 um 5:19 pm

[…] zur Etablierung des IS-Managements. Sicher hat der ein oder andere schon etwas von der ISO 27001 und dem IT-Grundschutz gehört. Diese beiden sind in Deutschland die bekanntesten Vertreter für […]

Überblick Informationssicherheitsmanagement – Maxanit Consulting · Juli 20, 2020 um 5:20 pm

[…] ISO 27001 […]

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.