Grundlegendes zu ISO/IEC 27001
Die internationale Norm ISO/IEC 27001 (aktuelle Ausführung 2022) stellt die Grundlage für das Informationssicherheitsmanagementsystem (ISMS) dar. Die Norm definiert die Anforderungen an ein solches Managementsystem. Im Anhang „A“ der Norm (englisch Annex A), sind die spezifischen Maßnahmen, Maßnahmenziele bzw. Kontrollausführungen für den Bereich der Informationssicherheit aufgeführt. Diese sind Grundlage für eine Zertifizierung eines ISMS in Ihrem Unternehmen.
Die ergänzende Norm ISO/IEC 27002 ist eine dazu korrespondierende Orientierungshilfe, welche Hinweise gibt, wie diese Maßnahmenziele erreicht bzw. Kontrollausführungen umgesetzt werden können.
Anfrage zu ISO/IECC 27001
Weitere Infos oder Fragen zu diesem Thema?
Anfrage zu ISO/IECC 27001
Gerne unterstützen wir Sie mit unserer langjährigen Erfahrung in der Umsetzung von regulatorischen Anforderungen in Ihrem Unternehmen.
Die ISO-Normen werden immer wieder überprüft und in ihren Ausführungen angepasst. Sinn und Zweck dieser Aktualisierungen ist es, die jeweilige Norm den aktuellen Entwicklungen anzupassen und diese mit weiteren Standards und Normen im Sprachgebrauch sowie Aufbau zu harmonisieren.
Durch die letzte Aktualisierung auf die aktuelle Ausführung wurden bisher nicht oder nur ungenügend berücksichtigte Themen integriert und an den aktuellen Stand der Technik angepasst. Dazu zählen u. a. technische Anforderungen wie die Absicherung im Umgang mit Cloud-Systemen oder die Überwachung von Aktivitäten in der IT-Infrastruktur. Dies ist ebenfalls durch das IT-Sicherheitsgesetz 2.0 gefordert, so sollen Systeme zur Angriffserkennung etabliert und betrieben werden. Des Weiteren wurden auch die Empfehlungen zur Umsetzung (Guidance) zu bestehenden Controls aktualisiert. Ein weiterer wesentlicher Faktor ist die weitere Fokussierung auf Risiken und deren Management.
Das Anbieten oder die Nutzung von Cloud-basierten Systemen, i.d.R. IaaS, PaaS, SaaS (jeweils erweiterbar um weitere Dienstleistungen, wie z.B. SECaaS) unterliegt weiteren Anforderungen, die das BSI aufgestellt hat. Für verschiedene Branchen, z.B. in medizinischen Bereichen, wird der vom BSI aufgestellte C5-Kriterienkatalog Pflichtlektüre und ist in Bezug auf die Umsetzung und nachhaltige Einhaltung einer Nachweisführung zu unterziehen.
Der BSI Cloud Computing Compliance Criteria Catalogue (kurz: BSI C5) ist ein Kriterienkatalog, welcher die Mindestanforderungen an die Informationssicherheit für Cloud-Dienste beschreibt, die nicht unterschritten werden dürfen. Ziel ist die transparente Darstellung der Informationssicherheit eines Cloud-Dienstes auf Basis einer standardisierten Prüfung. Cloud-Anbieter oder Unternehmen die Cloud-Dienste nutzen, können nach der Umsetzung der C5-Kriterien eine Zertifizierung anstreben und sich damit Wettbewerbsvorteile sichern.
Eine der ersten Anforderungen im C5-Kriterienkatalog ist beispielsweise das Vorhandensein / die Implementierung eines ISO/IEC 27001 konformen Informationssicherheitsmanagementsystems, womit sich die Verbindung zwischen der ISO/IEC 27001 Norm und dem C5-Kriterienkatalog erklärt. Gerne unterstützen wir Sie mit unserer langjährigen Erfahrung in der Umsetzung von regulatorischen Anforderungen in Ihrem Unternehmen.