ISO/IEC 27001

ISO / IEC 27001 "Information technology - Security techniques - Information security management systems - Requirements" ist der einzige internationale Standard, der den Aufbau eines Informationssicherheits-Managementsystems (ISMS) beschreibt. Er stellt damit neben bekannten Standards wie DIN EN ISO 9001 für Qualitätsmanagement und ISO 14000 für Umweltmanagement das Pendant für die Informationssicherheit dar, wenn es um den Aufbau von integrierten Managementsystemen geht.

Ähnlich wie bei der DIN EN ISO 9001 ist ein standardkonformes ISMS nach ISO / IEC 27001 durch ein ISO-Zertifikat nachweisbar. Ein derartiger unabhängiger Nachweis kann Dritten gegenüber (z.B. Wirtschaftsprüfer, Vertragspartner oder Kunden, Kreditinstitute etc.) von Bedeutung sein und zu Wettbewerbsvorteilen führen.

Der ISO / IEC 27001-Standard kann auf eine lange Geschichte zurückblicken. Die Inhalte des Standards bestehen im Wesentlichen aus dem nationalen britischen Standard BS 7799-2 des British Standards Institute, der im Jahr 1998 veröffentlicht und bis 2002 mehrfach revisioniert wurde.

Kennzeichnend für ISO / IEC 27001 ist der Prozessgedanke des Zyklus "Plan-Do-Check-Act". Es werden Prozesse zur Planung, Umsetzung, Prüfung und Überwachung, Instandhaltung und Verbesserung eines ISMS erläutert. Weiterhin werden Hinweise auf Maßnahmen gegeben, die im Rahmen der Prozessschritte umgesetzt werden sollen. In einem normativen Anhang werden diese Maßnahmen und Kontrollziele kurz beschrieben. Die Maßnahmen sind dabei identisch mit den in ISO / IEC 17799 beschriebenen Maßnahmen.

Im Rahmen der Weiterentwicklung der ISO27000er Standards sind weitere Standards geplant. Hierzu gehören:

• ISO 27000 - Fundamental and vocabulary
• ISO 27002 - ISO / IEC 17799 (Umbenennung) - Code of practice for information security management
• ISO 27003 - ISMS implementation guidelines
• ISO 27004 - ISM measurements
• ISO 27005 - Risk Management
• ISO 27006 - ISO 27009 in Planung