Drucken

ISO 27001



DIN ISO/IEC 27002:2008-09 Informationstechnik - IT-Sicherheitsverfahren - Leitfaden für das Informationssicherheits-Management (ISO/IEC 27002:2005)
Die aktuelle Version ist die die als Deutsche Industrie Norm übernommene ISO/IEC 27001:2015-03 Informationstechnik - Sicherheitsverfahren - Informationssicherheits-Managementsysteme - Überblick und TerminologieIT Sicherheit, Belastbare Prüfungen

Die ISMS-Familie beinhaltet Internationale Normen zu den Themen Anforderungen an ein
  • Informationssicherheits-Managementsystem (DIN ISO/IEC 27001:2008-07),
  • Risikomanagement (ISO/IEC 27005:2008-06),
  • Metriken und Maße (ISO/IEC 27004) und
  • eine Richtlinie zur Umsetzung (ISO/IEC 27003).DIN ISO/IEC 27001 „Leitfaden für das Informationssicherheits-Management“
 
  • DIN ISO/IEC 27001 legt die Anforderungen fest, nach welchen die ISMS-Prozesse und die ausgewählten Maßnahmen (controls) überprüft werden
  • DIN ISO/IEC 27002  Katalog an vorgeschlagenen Vorkehrungen, die zur Umsetzung dieser Maßnahmen erforderlich sind.
Beide DIN-Normen sind inhaltlich identisch mit den Internationalen Normen ISO/IEC 27001:2005-10, erste Ausgabe, (auf Basis von BS7799-2) beziehungsweise ISO/IEC 27002:2005-06, erste Ausgabe, (auf Basis von BS7799-1).

 
ISO 27001 - Risiken verstehen, Werte schützen
Die internationale Norm ISO/IEC 27001:2013 legt die Anforderungen für Herstellung, Einführung, Betrieb, Überwachung, Wartung und Verbesserung eines dokumentierten Informations-Sicherheits-Managementsystems (ISMS) fest. Dabei werden auch individuelle Risiken innerhalb der gesamten Organisation berücksichtigt, um Datenschutz und Informationssicherheit ganzheitlich gewährleisten zu können. 
Informationen bilden die betriebliche Basis für Ihre Geschäftstätigkeit und sind somit als immaterielle Unternehmenswerte zu verstehen. Die Norm spezifiziert branchenunabhängig Anforderungen für die Implementierung von geeigneten Sicherheitsmechanismen, die an die individuellen Anforderungen der einzelnen Organisationen angepasst werden sollen. Die ISO/IEC 27001 wurde entwickelt, um die Auswahl geeigneter Sicherheitsmechanismen zum Schutz sämtlicher Informationswerte eines Unternehmens sicherzustellen.

ISO 27001 Zertifizierung mit den Zielen:
 
  • Ein einheitliches und zentral gesteuertes Managementsystem
  • Schutz imaterieller Unternehmenswerte (Kundendaten, Know-how, Business Intelligence)
  • Effektives Monitoring und Steuern von Informationssicherheits-Risiken
  • Vereinfachung des Managements von Risiken, bessere Vergleichbarkeit der Performance
  • Sicherheitsnachweis der Organisation gegenüber dem Gesetzgeber, Kunden, Partnern, Versicherungen und Lieferanten
  • Sicherung aller Geschäftsprozesse durch eine etablierte SicherheitsorganisationISO 27001 Zertifizierung: Vorteile
  • Belegte Sicherheit: Weisen sie nach, dass Sie alle notwendigen Voraussetzungen getroffen haben, um sich vor Sicherheitslücken effektiv zu schützen!
  • Geschärftes Bewusstsein - für Ihre immateriellen Unternehmenswerte und die Risiken, die ihre Werte bedrohen.
  • Zukunftsfähigkeit: Schützen Sie die Werte Ihres Unternehmens!
  • Wettbewerbsvorteile - Kunden und Partner fordern die Zertifizierung immer häufiger ein.Mehr Sicherheit durch Risikomanagemen
Kein Unternehmen kann heute mehr auf leistungsstarke Informations- und Kommunikationssysteme verzichten. Jedes Management steht deshalb vor großen Herausforderungen, wenn es um den Schutz des eigenen Know-hows, Unternehmenssicherheit, Bedrohungen und Angriffe auf die IT Systeme geht. Gerade dort, wo Wettbewerbsfähigkeit, hohe Qualität von Produkten und Dienstleistung sowie größte Kundenzufriedenheit gefordert sind, ist ein effektives und sicheres Management dieser Risiken erforderlich.
Ein Garant für einen funktionierenden Geschäftsbetrieb ist ein etabliertes Informationssicherheits-Managementsystem (ISMS) nach ISO/IEC 27001. Dieser internationale Standard unterstützt Sie umfassend beim Management aller Geschäftsprozesse und beim Umgang mit IT-Risiken. Die ISO 27001 beschreibt einen unternehmensübergreifenden Ansatz zum Informationssicherheits-Management und versteht sich als integriertes Managementsystem.

Themenspektrum der ISO 27001
  • Risiko Management im Bereich der Informationssicherheit
  • Unternehmensweite Sicherheitspolitik (Security-Policy)
  • Aufbauorganisation des Sicherheitsmanagement-Systems
  • Identifizierung, Klassifizierung und Prüfung der Unternehmenswerte
  • Sicherheit von Personal & Einrichtungen
  • Management von Information & Kommunikation des Geschäftsbetriebes
  • Zugangskontrolle & IT Berechtigungen
  • Incident- & Problem-Management
  • Disaster & Recovery Prozeduren

Die neue Fassung der ISO 27001 wurde bereits auf Basis der High Level Structure erstellt, auf der auch die neue ISO 9001:2015 und die neue ISO 14001:2015 basieren. Auf diese Weise lässt sich ein ISMS leicht in ein bestehendes Managementsystem integrieren, was erheblichen Aufwand bei der Erstellung einsparen kann.

ISO 27017 und 27018 Sicherheitsmanagement für die Cloud Nutzung


Die auf europäischer und internationaler Ebene bisher vorliegenden Datenschutzstandards wie die Reihe der ISO/IEC 27000-Normen enthalten lediglich allgemeinere Sicherheitsbestimmungen. Der nun verabschiedete 27018-Standard beschäftigt sich dagegen ausschließlich mit der Regulierung der Verarbeitung von personenbezogenen Daten in der Cloud, indem er datenschutzrechtliche Anforderungen für Cloud-Dienste formuliert. Der Standard bietet damit einen nützlichen Rahmen für Datenschutzbestimmungen und richtet sich im Wesentlichen nach den Schutz- und Überwachungspflichten der geltenden europäischen Datenschutzgesetze.

INHALTLICHE AUSGESTALTUNG DER NORM

Inhaltlich baut die ISO 27018 auf den bereits existierenden Sicherheitsstandards wie der ISO 27001 und ISO 27002 auf. Diese definieren allgemeine Informationen zu Sicherheitsgrundsätzen - dazu gehören beispielsweise die Sicherung von Büros und Einrichtungen oder die Verwaltung von Medien. Einen weiteren Schwerpunkt legt die ISO 27018 aber darauf, durch entsprechende Verpflichtungen Vertrauen bei Kunden und Behörden bezüglich der Verarbeitung personenbezogener Daten zu schaffen. Die neue Norm greift damit die Forderung europäischer Behörden nach einem prüffähigen Rahmen für Cloud-Systeme auf, um das Vertrauen in das Internetumfeld zu stärken.

Die ISO 27018 folgende Verpflichtungen für Cloud-Anbieter:

•    Personenbezogene Daten dürfen ausschließlich in Übereinstimmung mit den Vorgaben der Kunden verarbeitet werden.
•    Kunden müssen im Falle der Wahrnehmung von Betroffenenrechten unterstützt werden: Die ISO 27018 verlangt, dass Cloud-Anbieter Tools offerieren, die ihren Kunden bei der Verpflichtung helfen, Endnutzern Zugang zu persönlichen Daten zu gewähren beziehungsweise diese ändern, löschen und korrigieren zu können.
•    Die Herausgabe von Daten an Strafverfolgungsbehörden darf nur bei vorliegender rechtlicher Verpflichtung erfolgen. Der betroffene Kunde muss vor der Herausgabe davon in Kenntnis gesetzt werden, es sei denn, diese Information ist rechtlich untersagt.
•    Die Offenlegung aller relevanten Unterbeauftragungsverhältnisse sowie der Länder, in denen eine Datenverarbeitung stattfindet, muss vor Vertragsschluss erfolgen.
•    Cloud-Anbieter müssen jede Art von Sicherheitsverletzung, mit dazugehörigem Datum und den daraus zu erwartenden Konsequenzen, sowie die einzelnen Schritte zur Lösung des Problems dokumentieren. Sicherheitsverletzungen müssen unverzüglich gegenüber dem Kunden angezeigt werden.
•    Die Kunden müssen bei der Wahrnehmung ihrer Anzeigepflichten im Fall von Verstößen gegen die Datensicherheit unterstützt werden.
•    Es müssen verbindliche Regeln für die Übermittlung, Rückgabe und Verwendung personenbezogener Daten implementiert werden, zum Beispiel im Falle der Vertragsbeendigung.
•    Die Anbieter müssen sich verpflichten, die angebotenen Cloud-Dienstleistungen in regelmäßigen Intervallen oder aber bei größeren Systemumstellungen durch unabhängige Dritte überprüfen zu lassen.

Fazit: Die ISO 27018 ist im Gegensatz zu anderen Normen mehr als nur ein technischer Standard im Sinne von Compliance-Anforderungen, die von Unternehmen zu beachten sind und vorgeben, wie ein Unternehmen sich organisieren und verhalten müssen, um gesetzlichen Anforderungen zu entsprechen.

ZERTIFIZIERUNG NACH ISO 27018


Cloud-Anbieter können sich entsprechend der ISO 27018 zertifizieren lassen. Um die Zertifizierung aufrecht zu erhalten, müssen sie sich dann in regelmäßigen Zeitabständen von unabhängigen Stellen erneut prüfen lassen. Namhafte Cloud-Anbieter aus den USA und Europa haben bereits angekündigt, ihre Produkte unter der neuen Norm zertifizieren zu lassen.
Dieser Zertifizierungsprozess bringt besonders für den Cloud-Nutzer erhebliche Vorteile mit sich: Geht es um die Anbieterwahl, kann ein ISO-27018-Zertifikat als entscheidendes Kriterium dienen. Liegt bei dem eigenen Cloud-Anbieter eine entsprechende Zertifizierung vor, lässt sich anwenderseitig leicht argumentieren, dass man sich von der Einhaltung der von den deutschen Aufsichtsbehörden verlangten Transparenz-, Informations- und Benachrichtigungspflichten überzeugt habe.
Selbstverständlich dürfen Cloud-Anbieter auch nur dann mit einer Zertifizierung nach ISO 27018 werben, wenn sie die Voraussetzungen erfüllen und die Zertifizierung tatsächlich nachweisen können. Eine Abweichung von der Norm hätte nicht nur den Verlust der Zertifizierung zur Folge, sondern würde den Cloud-Nutzern auch die Möglichkeit geben, das Vertragsverhältnis aus wichtigem Grund unmittelbar zu beenden.