Beginnen wir mit der ersten Norm aus dem Normenreihe der ISO 2700x: Die ISO 27000.

Welchen Zweck hat die ISO 27000?

Die Überschrift der ISO 27000 ist ‚ISMS – Überblick und Terminologie‘ und genau darum dreht diese sich auch. Zu Beginn wird kurz der Zweck der gesamten Normenreihe umrissen: Anforderungen an ein ISMS definieren und an diejenigen, welche solche Systeme zertifizieren.

Danach werden allgemeine Begriffe, welche im Zusammenhang mit ISMSn stehen, kurz definiert. Auf diese Liste kann man immer wieder zurückkommen, wenn man mal Definitionen für bestimmte Begriffe braucht. Ich schau hier immer mal rein, wenn ich wissenschaftliche Arbeiten schreibe oder Ähnliches.

Was ist ein ISMS?

Im Anschluss wird die Frage geklärt ‚Was ist ein ISMS?‘. In der ISO 27000 wird ein ISMS als die ‚Politik, Verfahren, Richtlinien und damit verbundene Ressourcen und Tätigkeit, die alle von einer Organisation gesteuert werden, um ihre Informationswerte zu schützen‘. Danach werden noch Grundbegriffe, wie Informationen, Informationssicherheit und Management erläutert. Hier schau ich immer mal, wenn ich diese Grundbegriffe für fachlich-Fremde oder irgendeine Managementebene erklären soll.

Auch Abschnitte, wie ‚Warum ist ein ISMS wichtig?‘ und ‚Erfolgsfaktoren eines ISMS‘ machen sich ganz gut als Vorlage für Management-Präsentationen.

Die ISMS-Normenfamilie

Im vierten Abschnitt der ISO 27000 wird detailliert die Normenfamilie der ISO 2700x erklärt. Dabei werden die verschiedenen Normen eingeordnet.

Überblick ISO 2700x-Normen, Quelle: ISO 27000, Bild 1

Nach dieser Übersicht, werden die Normen einzeln erläutert.

Formulierung der Verbformen

Im Anhang A des ISO 27000 ist noch eine wichtige Tabelle versteckt. Hier werden die Formulierungen für

  • Anforderungen
  • Empfehlungen
  • Zulässigkeit
  • Möglichkeit

definiert. So steht ein ‚muss/müssen‘ oder ‚darf/dürfen nicht‘ für eine zwingende Anforderung, welche umgesetzt werden muss. ’sollte/sollten‘ und ’sollte/sollten nicht‘ steht für eine Empfehlung, welche so oder anders umgesetzt werden kann usw.

Dies sollte man sich anschauen bevor man die weiteren ISO Normen liest, da man sonst bestimmte Formulierungen falsch versteht.

Die ISO 27000 ist also eine gute Nachtlektüre, wenn man mal Zeit hat, und formuliert einige Grundlagen für ISMSe. Wenn man ernsthaft an eine Zertifizierung nach ISO 27001 denkt oder Auditor oder Ähnliches werden will, ist die ISO 27000 schon Pflicht.


2 Kommentare

ISO 2700x Überblick – Maxanit Consulting · August 16, 2020 um 1:04 pm

[…] ISO 27000: Gibt einen Überblick über die folgenden Normen und definiert das verwendete Vokabular […]

Überblick Informationssicherheitsmanagement – Maxanit Consulting · August 16, 2020 um 1:06 pm

[…] ISO 27000 […]

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.