DIN ISO/IEC 27002:2008-09 Informationstechnik - IT-Sicherheitsverfahren Leitfaden für das Informationssicherheits-Management (ISO/IEC 27002:2005) Die aktuelle Version ist die die als Deutsche Industrie Norm übernommene ISO/IEC 27001:2015-03 Informationstechnik - Sicherheitsverfahren - Informationssicherheits-Managementsysteme - Überblick und TerminologieIT Sicherheit, Belastbare Prüfungen Die ISMS-Familie beinhaltet Internationale Normen zu den Themen Anforderungen an ein
ISO 27001 - Risiken verstehen, Werte schützen Die internationale Norm ISO/IEC 27001:2013 legt die Anforderungen für Herstellung, Einführung, Betrieb, Überwachung, Wartung und Verbesserung eines dokumentierten Informations-Sicherheits-Managementsystems (ISMS) fest. Dabei werden auch individuelle Risiken innerhalb der gesamten Organisation berücksichtigt, um Datenschutz und Informationssicherheit ganzheitlich gewährleisten zu können. Informationen bilden die betriebliche Basis für Ihre Geschäftstätigkeit und sind somit als immaterielle Unternehmenswerte zu verstehen. Die Norm spezifiziert branchenunabhängig Anforderungen für die Implementierung von geeigneten Sicherheitsmechanismen, die an die individuellen Anforderungen der einzelnen Organisationen angepasst werden sollen. Die ISO/IEC 27001 wurde entwickelt, um die Auswahl geeigneter Sicherheitsmechanismen zum Schutz sämtlicher Informationswerte eines Unternehmens sicherzustellen. ISO 27001 Zertifizierung mit den Zielen:
Ein Garant für einen funktionierenden Geschäftsbetrieb ist ein etabliertes Informationssicherheits-Managementsystem (ISMS) nach ISO/IEC 27001. Dieser internationale Standard unterstützt Sie umfassend beim Management aller Geschäftsprozesse und beim Umgang mit IT-Risiken. Die ISO 27001 beschreibt einen unternehmensübergreifenden Ansatz zum Informationssicherheits-Management und versteht sich als integriertes Managementsystem. Themenspektrum der ISO 27001
Die neue Fassung der ISO 27001 wurde bereits auf Basis der High Level Structure erstellt, auf der auch die neue ISO 9001:2015 und die neue ISO 14001:2015 basieren. Auf diese Weise lässt sich ein ISMS leicht in ein bestehendes Managementsystem integrieren, was erheblichen Aufwand bei der Erstellung einsparen kann. ISO 27017 und 27018 Sicherheitsmanagement für die Cloud NutzungDie auf europäischer und internationaler Ebene bisher vorliegenden Datenschutzstandards wie die Reihe der ISO/IEC 27000-Normen enthalten lediglich allgemeinere Sicherheitsbestimmungen. Der nun verabschiedete 27018-Standard beschäftigt sich dagegen ausschließlich mit der Regulierung der Verarbeitung von personenbezogenen Daten in der Cloud, indem er datenschutzrechtliche Anforderungen für Cloud-Dienste formuliert. Der Standard bietet damit einen nützlichen Rahmen für Datenschutzbestimmungen und richtet sich im Wesentlichen nach den Schutz- und Überwachungspflichten der geltenden europäischen Datenschutzgesetze. INHALTLICHE AUSGESTALTUNG DER NORMInhaltlich baut die ISO 27018 auf den bereits existierenden Sicherheitsstandards wie der ISO 27001 und ISO 27002 auf. Diese definieren allgemeine Informationen zu Sicherheitsgrundsätzen - dazu gehören beispielsweise die Sicherung von Büros und Einrichtungen oder die Verwaltung von Medien. Einen weiteren Schwerpunkt legt die ISO 27018 aber darauf, durch entsprechende Verpflichtungen Vertrauen bei Kunden und Behörden bezüglich der Verarbeitung personenbezogener Daten zu schaffen. Die neue Norm greift damit die Forderung europäischer Behörden nach einem prüffähigen Rahmen für Cloud-Systeme auf, um das Vertrauen in das Internetumfeld zu stärken.Die ISO 27018 folgende Verpflichtungen für Cloud-Anbieter:• Personenbezogene Daten dürfen ausschließlich in Übereinstimmung mit den Vorgaben der Kunden verarbeitet werden.• Kunden müssen im Falle der Wahrnehmung von Betroffenenrechten unterstützt werden: Die ISO 27018 verlangt, dass Cloud-Anbieter Tools offerieren, die ihren Kunden bei der Verpflichtung helfen, Endnutzern Zugang zu persönlichen Daten zu gewähren beziehungsweise diese ändern, löschen und korrigieren zu können. • Die Herausgabe von Daten an Strafverfolgungsbehörden darf nur bei vorliegender rechtlicher Verpflichtung erfolgen. Der betroffene Kunde muss vor der Herausgabe davon in Kenntnis gesetzt werden, es sei denn, diese Information ist rechtlich untersagt. • Die Offenlegung aller relevanten Unterbeauftragungsverhältnisse sowie der Länder, in denen eine Datenverarbeitung stattfindet, muss vor Vertragsschluss erfolgen. • Cloud-Anbieter müssen jede Art von Sicherheitsverletzung, mit dazugehörigem Datum und den daraus zu erwartenden Konsequenzen, sowie die einzelnen Schritte zur Lösung des Problems dokumentieren. Sicherheitsverletzungen müssen unverzüglich gegenüber dem Kunden angezeigt werden. • Die Kunden müssen bei der Wahrnehmung ihrer Anzeigepflichten im Fall von Verstößen gegen die Datensicherheit unterstützt werden. • Es müssen verbindliche Regeln für die Übermittlung, Rückgabe und Verwendung personenbezogener Daten implementiert werden, zum Beispiel im Falle der Vertragsbeendigung. • Die Anbieter müssen sich verpflichten, die angebotenen Cloud-Dienstleistungen in regelmäßigen Intervallen oder aber bei größeren Systemumstellungen durch unabhängige Dritte überprüfen zu lassen. Fazit: Die ISO 27018 ist im Gegensatz zu anderen Normen mehr als nur ein technischer Standard im Sinne von Compliance-Anforderungen, die von Unternehmen zu beachten sind und vorgeben, wie ein Unternehmen sich organisieren und verhalten müssen, um gesetzlichen Anforderungen zu entsprechen. ZERTIFIZIERUNG NACH ISO 27018Cloud-Anbieter können sich entsprechend der ISO 27018 zertifizieren lassen. Um die Zertifizierung aufrecht zu erhalten, müssen sie sich dann in regelmäßigen Zeitabständen von unabhängigen Stellen erneut prüfen lassen. Namhafte Cloud-Anbieter aus den USA und Europa haben bereits angekündigt, ihre Produkte unter der neuen Norm zertifizieren zu lassen. Dieser Zertifizierungsprozess bringt besonders für den Cloud-Nutzer erhebliche Vorteile mit sich: Geht es um die Anbieterwahl, kann ein ISO-27018-Zertifikat als entscheidendes Kriterium dienen. Liegt bei dem eigenen Cloud-Anbieter eine entsprechende Zertifizierung vor, lässt sich anwenderseitig leicht argumentieren, dass man sich von der Einhaltung der von den deutschen Aufsichtsbehörden verlangten Transparenz-, Informations- und Benachrichtigungspflichten überzeugt habe. Selbstverständlich dürfen Cloud-Anbieter auch nur dann mit einer Zertifizierung nach ISO 27018 werben, wenn sie die Voraussetzungen erfüllen und die Zertifizierung tatsächlich nachweisen können. Eine Abweichung von der Norm hätte nicht nur den Verlust der Zertifizierung zur Folge, sondern würde den Cloud-Nutzern auch die Möglichkeit geben, das Vertragsverhältnis aus wichtigem Grund unmittelbar zu beenden. |