ISO/IEC 17799

Ein weiterer Standard der ISO ist der ISO/IEC 17799 - "Code of Practice for Information Security Management". Dieser gibt im Rahmen eines Leitfadens zum Aufbau eines ISMS inhaltliche Best-Practice-Hinweise zum Management von Informationssicherheit.

Geschichte der Standards

In den achtziger Jahren bestand es zwar das Bedürfnis des Handels und der Industrie nach einem einfach einsetzbaren Standard für das IT-Risikomanagement, der jedoch nicht verfügbar war. Eines der Unternehmen, das diese Lücke erkannte war die "Royal Dutch/Shell Gruppe" die daraufhin einen eigenen Standard entwickelten - die "Shell Baseline Security Controls".

Unter der Beteiligung mehrerer anderer britischer Unternehmen und unter Leitung des britischen "Department of Trade and Industry" (DTI) wurde dieser zum "Code of Practice for Information Security Management" (CoP) weiterentwickelt.

Als dessen Erarbeitung abgeschlossen war, wurde er 1993 veröffentlicht und zwei Jahre später zum offiziellen Britischen Standard BS 7799 erklärt. Er besteht aus zwei Teilen, wobei der erste die Best-Practice-Maßnahmen beschreibt und der Zweite sich mit dem Aufbau eines ISMS und der Umsetzung der Maßnahmen in dessen Rahmen beschäftigt.

Nachdem der BS 7799 weltweit große Verbreitung gefunden hat und in viele nationale Standards umgesetzt wurde, ist dessen erster Teil von der ISO im Jahr 2000 als ISO/IEC 17799:2000 übernommen worden.

Die aktuelle Version des Standards ist ISO / IEC 17799:2005. Eine Umnummerierung in ISO / IEC 27002 ist für 2007 geplant, um alle ISMS-relevanten Standards in die Reihe der ISO / IEC 27000 zu konsolidieren.

Inhalte des Standards

Der ISO / IEC 17799 umfasst 133 Maßnahmen zur Informationssicherheit, die 11 Bereichen zugeordnet werden:

• Sicherheitspolitik
• Organisation der Informationssicherheit
• Wertemanagement
• Personelle Sicherheit
• Physische und umgebungsbezogene Sicherheit
• Management der Kommunikation und des Betriebs
• Zugangskontrolle
• Systembeschaffung -entwicklung und -wartung
• Management von Informationssicherheits-Vorfällen
• Management des kontinuierlichen Geschäftsbetriebs
• Einhaltung der gesetzlichen Verpflichtungen

Die beschriebenen Maßnahmen bieten einen umfassenden Überblick über Themen der IT-Sicherheit. Sie sind jedoch nicht geeignet, wenn es um die Beantwortung von Detailfragen geht. In diesem Fall findet man im IT-Grundschutzhandbuch des Bundesamtes für Informationssicherheit (BSI) wesentlich detailliertere Maßnahmenempfehlungen - auch auf der technischen Ebene.

Es ist nicht nötig, jede der 133 Maßnahmen aus den dargestellten Bereichen zu implementieren. Vielmehr sind jeweils individuell geeignete Maßnahmen zu wählen und umzusetzen. Auf diese Weise wird ein auf die Organisation maßgeschneidertes ISMS, bestehend aus den Best-Practice-Maßnahmen des ISO / IEC 17799, ermöglicht. Einige Maßnahmen sind jedoch notwendig, wenn das ISMS nach IOS / IEC 27001 zertifiziert werden soll.