Standards für Informationssicherheit – ein Überblick

INHALT

• Standards für Informationssicherheit – eine Überblickliste
• Wettbewerbsvorteil Zertifizierung
• 10 ISO-Normen zur Informationssicherheit, die Sie kennen sollten
• Weitere Themen der Normfamilie ISO 2700x
• DQS – Das können Sie von uns erwarten

Standards für Informationssicherheit: die Normenfamilie ISO 2700X

Die einzelnen Standards für Informationssicherheit der ISO 2700x-Reihe beschäftigen sich mit diversen Themen im Bereich der Informationssicherheit. So spezifiziert beispielsweise die internationale Norm ISO 27001 ein Informationssicherheits-Managementsystem (ISMS), ISO 27701 ein Datenschutzmanagementsystem, ISO 27017 bietet eine Anleitung zu Informationssicherheitsmaßnahmen bei Cloud Computing und ISO 27005 enthält Richtlinien für das Risikomanagement im Bereich der Informationssicherheit.

Unternehmen aller Branchen können von dem systematisch strukturierten Ansatz dieser Standards für Informationssicherheit profitieren. Er ermöglicht es, vertrauliche Daten vor Verlust und Missbrauch zu schützen, und unterstützt dabei, (potenzielle) Bedrohungen zuverlässig zu identifizieren und zu reduzieren. Der Ansatz hilft, die Verfügbarkeit der IT-Unternehmenssysteme sicherzustellen und somit zur Optimierung von Geschäftsprozessen, IT- und Prozesskosten sowie zur Minimierung von Geschäfts- und Haftungsrisiken beizutragen.

Wettbewerbsvorteil Zertifizierung

Eine Zertifizierung nach ISO 27001 zum Beispiel durch die DQS bedarf einer gewissen Vorbereitung und eines gewissen Aufwands. Das Unternehmen erbringt damit jedoch den dokumentierten Nachweis, dass Anforderungen der Informationssicherheit (information security) eingehalten und Maßnahmen zum Schutz von sensiblen Unternehmensdaten umgesetzt werden. Ein klar auf der Hand liegender Wettbewerbsvorteil.

10 ISO-Normen zu Informationssicherheit, die Sie kennen sollten

Die nachstehende Liste von Standards in der Informationssicherheit bietet einen informativen Überblick über den aktuellen Stand der ISO 2700x-Reihe. Alle Normen sind beim Beuth Verlag käuflich zu erwerben.

ISO 27001 – Anforderungen an Informationssicherheits-Managementsysteme

In Zeiten, in denen Daten und Informationen wie seltene Rohstoffe gehandelt werden, ist deren Schutz unabdingbar. Eine optimale Grundlage zur wirksamen Umsetzung einer ganzheitlichen Sicherheitsstrategie bietet ein gut strukturiertes Informationssicherheits-Managementsystem (ISMS) nach der Norm ISO 27001. Hierbei handelt es sich um einen international anerkannten Standard zur Informationssicherheit in privaten, öffentlichen oder gemeinnützigen Organisationen, der nicht nur die Aspekte der IT-Sicherheit behandelt.

Ein ISMS nach ISO 27001 definiert Anforderungen, Regeln und Methoden zur Gewährleistung der Sicherheit schützenswerter Informationen in Unternehmen. Die ISO-Norm liefert ein Modell für die Einführung, Umsetzung, Überwachung und die Verbesserung des Schutzniveaus. Ziel ist es, mögliche Risiken für das Unternehmen zu identifizieren, zu analysieren und durch geeignete Maßnahmen beherrschbar zu machen. ISO 27001 formuliert die Anforderungen an ein solches Managementsystem, die im Rahmen eines externen Zertifizierungsverfahrens auditiert werden.

Das gelingt Ihnen mit der Norm:

• Sicherheit sensibler Informationen zum integrativen Bestandteil der Unternehmensprozesse machen
• Präventive Sicherung der Schutzziele Vertraulichkeit, Verfügbarkeit und Integrität von Informationen
• Aufrechterhaltung der Geschäftskontinuität (Business Continuity) durch fortlaufende Verbesserung des Sicherheitsniveaus
• Sensibilisierung der Mitarbeiter und ein deutlich stärkeres Sicherheitsbewusstsein auf allen Unternehmensebenen
• Vertrauensbildung gegenüber interessierten Parteien
• Etablierung eines wirksamen Risikomanagementprozesses

ISO 27019 – Informationssicherheitsmaßnahmen für die Energieversorgung 

Der Standard für Informationssicherheit ISO 27019 formuliert ergänzende Maßnahmen für den Sektor der Energiewirtschaft.

Die Norm unterstützt Sie dabei, Ihre elektronischen Prozesssteuerungssysteme zu sichern, die zur Steuerung und Überwachung der Produktion, Übertragung, Speicherung und Verteilung von elektrischer Energie, Gas, Öl und Wärme sowie zur Steuerung der damit verbundenen unterstützenden Prozesse verwendet werden.

Das gelingt Ihnen mit der Norm:

• Systematische Sicherung der Schutzziele Vertraulichkeit, Verfügbarkeit, Integrität von Informationen
• Fortlaufende Verbesserung des Sicherheitsniveaus und der Widerstandsfähigkeit gegen ungewollte Zugriffe
• Mehr Handlungs- und Rechtssicherheit, Einhaltung relevanter Compliance-Anforderungen
• Stärkeres Sicherheitsbewusstsein von Mitarbeitern und Führungskräften
• Hohes Maß an Vertrauen und Loyalität bei allen interessierten Parteien
• Anerkannter Nachweis über die Wirksamkeit Ihrer Sicherheitsmaßnahmen gegenüber der Bundesnetzagentur (BNetzA)

ISO 27006 – Anforderungen an Zertifizierungsstellen

ISO 27006 richtet sich an Stellen wie die DQS, die Zertifizierungen von Informationssicherheits-Managementsystemen durchzuführen. Die Akkreditierungsnorm ISO 27006 beschreibt die Anforderungen, die Zertifizierungsstellen bei der Begutachtung der Managementsysteme ihrer Kunden nach ISO 27001 für eine Zertifizierung befolgen müssen.

Hierzu gehört zum Beispiel der Nachweis von vorgegebenen Auditaufwänden oder Vorgaben zu den Qualifikationen der Auditoren. Die in der Norm dargelegten Akkreditierungsprozesse garantieren, dass die von akkreditierten Zertifizierungsstellen ausgestellten ISO 27001-Zertifikate internationale Gültigkeit besitzen.

Das gelingt Ihnen mit der Norm:

• Einheitliche Standards bei Zertifizierungs-, Überwachungs- und Rezertifizierungsauditverfahren
• Sicherstellung der Gültigkeit von ISO 27001-Zertifikaten
• Sicherstellung von Mindestanforderungen beim Auditaufwand und der Qualifikation des Personals, welches Zertifizierungsverfahren kalkuliert und durchführt

ISO 27002 – Leitfaden zu Informationssicherheitsmaßnahmen

Das Informationssicherheits-Managementsystem (ISMS) gemäß ISO 27001 enthält einen normativen Anhang A: Information security controls reference.. Dieser Anhang enthält konkrete Maßnahmen, die im Rahmen des Managementsystems umgesetzt werden müssen, soweit sie für die Organisation relevant sind. ISO 27002 ist ein Leitfaden mit Empfehlungen für die Umsetzung der Maßnahmen aus ISO 27001.

Anfang 2022 wurde der Leitfaden umfassend überarbeitet und aktualisiert. Die Neuauflage gibt Informationssicherheits-Verantwortlichen eine präzise Umsetzungsanleitung, damit keine wichtigen Maßnahmen zur Behandlung des Informationssicherheitsrisikos übersehen werden.

Das gelingt Ihnen mit der Norm:

• Unterstützung bei der Einführung von ISO 27001
• Umsetzung der Empfehlungen zu den Maßnahmen im Anhang A von ISO 27001

ISO 27000 – Überblick und Vokabular von Informationssicherheits-Managementsystemen

ISO 27000 enthält Begriffe und Definitionen, welche in der Normenserie ISO 2700X genutzt werden. ISO 27000 bietet einen Überblick über Informationssicherheits-Managementsysteme und die ISO 2700x-Normenreihe mit ihren Standards für Informationssicherheit.

In einem Glossar werden die (Fach)Begriffe explizit und formell definiert.

Das gelingt Ihnen mit der Norm:

• Glossar: Abdeckung der meisten in der ISO2700x-Normenreihe verwendeten Fachbegriffe im Bereich der Informationssicherheit
• Klarheit über Begrifflichkeiten
• Klares Verständnis für das Vokabular bei Gutachtern und Begutachteten („eine gemeinsame Sprache“)
• Überblick über Informationssicherheits-Managementsysteme: Vorstellung von Informationssicherheit, Risiko- und Sicherheitsmanagement sowie Managementsystemen

ISO 27701 – Leitfaden zu Datenschutzmanagement

Der speziell auf Datenschutz bezogene Standard für Informationssicherheit ISO 27701 spezifiziert ein Datenschutzmanagementsystem auf der Grundlage von ISO 27001, ISO 27002 (Informationssicherheitsverfahren) und ISO 29100 (Datenschutzrahmen), um sowohl mit der Verarbeitung personenbezogener Daten als auch der Informationssicherheit angemessen umzugehen. Dies gilt sowohl für die Verantwortlichen als auch für die Verarbeitenden personenbezogener Daten.

Das gelingt Ihnen mit der Norm:

• Besseres Management von personenbezogenen Daten sowie der Informationssicherheit
• Einfacheres Anwenden der üblichen Grundsätze des Informationsrisikomanagements auf personenbezogene Daten
• Anpassung und Erweiterung der Kontrollen innerhalb von ISO 27001 sowie der damit verbundenen ISO 27002

ISO 27017 – Leitfaden zu Informationssicherheitsmaßnahmen in Cloud-Diensten

Die Norm ISO 27017 bietet innerhalb der Standards für Informationssicherheit eine Anleitung zu Informationssicherheitsmaßnahmen bei Cloud Computing.

Sie empfiehlt, unterstützt und bietet zusätzliche Maßnahmen zur Implementierung von cloudspezifischen Informationssicherheitskontrollen.

Das gelingt Ihnen mit der Norm:

• Verständnis über die Informationssicherheitsaspekte von Cloud Computing
• Aufbau und Implementierung von cloudspezifischen Informationssicherheitskontrollen
• Kontrolle über die Möglichkeiten zur Auswahl, Implementierung und Verwaltung der Informationssicherheit bei Cloud Computing

ISO 27018 – Leitfaden zu Datenschutz in Cloud-Diensten

Die Norm ISO 27018 enthält Leitlinien, anhand derer sichergestellt werden soll, dass Anbieter von Cloud-Diensten geeignete Informationssicherheitskontrollen anbieten, um die Privatsphäre der Kunden ihrer Kunden durch die Sicherung der ihnen anvertrauten personenbezogenen Daten zu schützen.

Dieser Norm folgt ISO 27017 (Informationssicherheitsmaßnahmen in Cloud-Diensten), die weitere Informationssicherheitsaspekte des Cloud Computing als nur den Datenschutz abdeckt.

Das gelingt Ihnen mit der Norm:

• Auswahl von PII-Schutzkontrollen im Rahmen der Implementierung eines Cloud-Computing-Informationssicherheits-Managementsystems auf der Grundlage von ISO 27001
• Implementierung allgemein akzeptierter PII-Schutzkontrollen
• Vertieftes Wissen, da die Norm auf dem Leitfaden ISO 27002 basiert und deren allgemeine Ratschläge in einigen Bereichen erweitert
• Verknüpfung von OECD-Prinzipien zum Schutz der Privatsphäre, die in mehreren Datenschutzgesetzen und -vorschriften verankert sind

ISO 27005 – Leitfaden zum Informationssicherheits-Risikomanagement

Die Norm ISO 27005 enthält Richtlinien für das Risikomanagement im Bereich der Informationssicherheit und unterstützt die in ISO 27001 festgelegten allgemeinen Konzepte hierzu.

ISO 27005 soll zudem die Implementierung von Informationssicherheit auf Grundlage eines Risikomanagementkonzepts unterstützen.

Das gelingt Ihnen mit der Norm:

• Umsetzung der Informationssicherheit auf der Grundlage eines Risikomanagementkonzepts
• Festlegung des Risikomanagementkontextes
• Quantitative oder qualitative Bewertung (d.h. Identifizierung, Analyse und Bewertung) relevanter Informationsrisiken
• Kontinuierliche Überwachung und Überprüfung von Risiken, Risikobehandlungen, Anforderungen und Kriterien
• Angemessener Umgang mit Risiken
• Fortlaufende Kommunikation aller Beteiligten

ISO 27007 – Leitfaden zum auditieren von ISMS

ISO 27007 ist ein Leitfaden für die Durchführung von Audits und richtet sich an interne und externe Auditoren, die ein ISMS nach ISO/IEC 27001 begutachten.

Der Leitfaden basiert in hohem Maße auf dem Leitfaden zur Auditierung von Managementsystemen (ISO 19011) und bietet zusätzliche Anleitungen für ein Informationssicherheits-Managementsystem (ISMS).

Das gelingt Ihnen mit der Norm:

• Leitfaden speziell für ISMS-Audits nach ISO 27001
• Hinweise zur Planung und Durchführung von Audits aus ISO 19011 integriert
• Wichtige Hinweise zu Kompetenzen von ISMS-Auditoren
• ISMS-Audits verstehen und durchführen

DQS – was wir für Sie tun können

Die DQS ist seit 1985 führender Spezialist für die Zertifizierung von Managementsystemen und Prozessen. Seither ist die Firmengeschichte der DQS eng mit der Historie von ISO 9001 verknüpft. Unser weltweites Know-how und umfangreiches Normenverständnis bringen wir an rund 30.000 Audittagen im Jahr bei unseren Kunden ein. Machen Sie sich ein Bild von Ihren Möglichkeiten.

Vertrauen und Expertise

Unsere Texte und Whitepaper werden ausschließlich von unseren Normexperten oder langjährigen Auditoren verfasst. So auch die Übersicht über die Standards in der Informationssicherheit. Sollten Sie Fragen zu den Textinhalten oder unseren Dienstleistungen an unseren Autor haben, senden Sie uns gerne eine E-Mail an willkommen@dqs.de.

Hinweis: Wir verwenden aus Gründen der besseren Lesbarkeit das generische Maskulinum. Die Direktive schließt jedoch grundsätzlich Personen jeglicher Geschlechteridentitäten mit ein, soweit es für die Aussage erforderlich ist.

Standards für Informationssicherheit: weitere Themen der Normfamilie ISO 2700X

ISO 27003 – Leitfaden zur Entwicklung und Implementierung eines ISMS

DIN ISO/IEC 27003:2017-03

Informationstechnik – Sicherheitsverfahren – Informationssicherheitsmanagementsysteme – Anleitung

ISO 27004 – Leitfaden zu Informationssicherheitsmanagement-Messmethoden

ISO/IEC 27004:2016-12

Informationstechnik – Sicherheitsverfahren – Informationssicherheits-Management – Überwachung, Messung, Analyse und Evaluation

ISO 27008 – Leitfaden zur Bewertung von Informationssicherheitsmaßnahme

ISO/IEC TS 27008:2019-01

Informationstechnik – Sicherheitsverfahren – Leitfaden zur Bewertung von Informationssicherheitsmaßnahmen

ISO 27009 – Leitfaden zur sektorspezifischen Anwendung eines Informationsmanagementsystems

DIN ISO/IEC 27009:2022-09

Informationssicherheit, Cybersicherheit und Datenschutz - Sektorspezifische Anwendung der ISO/IEC 27001 - Anforderungen (ISO/IEC 27009:2020)

ISO 27010 – Leitfaden zu Informationssicherheitsmanagement für sektor- und organisationsübergreifende Kommunikation

DIN EN ISO/IEC 27010:2020-02 – Entwurf

Informationstechnik – Sicherheitsverfahren – Informationssicherheitsmanagement für sektor- und organisationsübergreifende Kommunikation (ISO/IEC 27010:2015); Deutsche und Englische Fassung prEN ISO/IEC 27010:2020

ISO 27011 – Leitfaden zu Informationssicherheitsmanagement im Telekommunikationssektor

ISO/IEC 27011:2016-12

Informationstechnik – Sicherheitsverfahren – Leitfaden für Informationssicherheitsmaßnahmen auf Grundlage von ISO/IEC 27002 für Telekommunikationsunternehmen

ISO 27013 – Leitfaden zur integrierten Implementierung eines ISMS und eines IT-Servicemanagements

ISO/IEC 27013:2021-11

Informationssicherheit, Cybersicherheit und Datenschutz - Leitfaden für die integrierte Einführung von ISO/IEC 27001 und ISO/IEC 20000-1

ISO 27014 – ‚Governance‘ von Informationssicherheit 

ISO/IEC 27014:2020-12

Informationssicherheit, Cybersecurity und Datenschutz – Governance von Informationssicherheit

ISO 27016 – Wirtschaftlichkeit des Informationssicherheitsmanagements

ISO/IEC TR 27016:2014-03

Informationstechnik – IT-Sicherheitsverfahren – Informationssicherheitsmanagement – organisationelle Wirtschaftlichkeit

ISO 27021 – Anforderungen an die Kompetenz von Sachkundigen für ISMS

ISO/IEC 27021:2017-10

Informationstechnik – Sicherheitsverfahren – Anforderungen an die Kompetenz von Sachkundigen für Informationssicherheits-Managementsysteme

ISO 27031 – Leitfaden zu Business Continuity

ISO/IEC 27031:2011-03

Informationstechnik – IT-Sicherheitsverfahren – Leitfaden für die Bereitschaft von Informations- und Kommunikationstechnologien für Business Continuity.

TIPP: Lesen Sie unseren Blogbeitrag zum Thema  Business Continuity Management und erfahren Sie, was die Norm ISO 22301 empfiehlt, um auch in Ausnahmesituationen den Fortbestand eines Unternehmens zu sichern.

ISO 27032 – Leitfaden zu Cybersicherheit

ISO/IEC 27032:2012-07

Informationstechnik – IT-Sicherheitsverfahren – Leitfaden für Cybersicherheit

ISO 27033-1 – Leitfaden zu Netzwerksicherheit

ISO/IEC 27033-1:2015-08

Informationstechnik – IT Sicherheitsverfahren – Netzwerksicherheit
Teil 1: Überblick und Begriffe, Teil 2: Richtlinien für Entwurf/Implementierung von Netzwerksicherheit, Teil 3: Referenz-Netzwerkszenarien (Bedrohungen, Designtechniken und Kontrollfragen), Teil 4: Sichern der Kommunikation zwischen Netzwerken mit Hilfe von Sicherheits-Gateways, Teil 5: Sicherung der Kommunikation über Netzwerke mit Hilfe von Virtual Private Networks (VPNs), Teil 6: Sicherung des drahtlosen IP-Netzzugangs

ISO 27034-1 – Leitfaden zu Anwendungssicherheit

ISO/IEC 27034-1:2011-11

Informationstechnik – IT Sicherheitsverfahren – Sicherheit von Anwendungen
Teil 1: Überblick und Konzept, Teil 2: Normativer Rahmen der Organisation, Teil 3: Prozess zur Verwaltung der Anwendungssicherheit, Teil 4: Validierung der Anwendungssicherheit (Entwurf), Teil 5: Protokolle und Datenstruktur zur Anwendungssicherheitskontrolle, Teil 6: Protokolle und Datenstruktur zur Anwendungssicherheitskontrolle, XML-Schemata, Teil 7: Fallstudien, Teil 8: Rahmen für die Vorhersage der Zuverlässigkeit

ISO 27035-1 – Leitfaden zum Störfallmanagement von Informationssicherheitsvorfällen

ISO/IEC 27035-1:2016-11

Informationstechnik – IT Sicherheitsverfahren – Informationssicherheit Störfallmanagement
Teil 1: Grundlagen des Störfallmanagements, Teil 2: Richtlinien zur Planung und Vorbereitung der Reaktion auf Vorfälle, Teil 3: Richtlinien für die Reaktion auf Vorfälle in der Informations- und Kommunikationstechnik (Entwurf)

ISO 27036-1 – Leitfaden zu Zulieferbeziehungen

ISO/IEC 27036-1:2021-09

Cybersecurity - Supplier relationships - Part 1: Overview and concepts

ISO 27037 – Leitfaden zum Umgang mit digitalen Beweismitteln

ISO/IEC 27037:2012-10

Informationstechnik – IT-Sicherheitsverfahren – Leitfaden für die Identifikation, Mitnahme, Sicherung und Erhaltung digitaler Beweismittel

ISO 27038 – Spezifikation für digitales Schwärzen

ISO/IEC 27038:2014-03

Informationstechnik – IT-Sicherheitsverfahren – Spezifikation für digitales Schwärzen

ISO 27039 – Leitfaden zu Intrusion Detection Systemen (IDPS)

ISO/IEC 27039:2015-02

Informationstechnik – IT-Sicherheitsverfahren – Auswahl, Einsatz und Betrieb von Intrusion Detection Systemen (IDPS)

ISO 27040 – Leitfaden zu Speichersicherheit

DIN EN ISO/IEC 27040:2017-03

Informationstechnik – IT-Sicherheitsverfahren – Speichersicherheit (ISO/IEC 27040:2015); Deutsche Fassung EN ISO/IEC 27040:2016

ISO 27041 – Leitfaden zu Vorfall-Untersuchungsmethoden

DIN EN ISO/IEC 27041:2016-12

Informationstechnik – IT-Sicherheitsverfahren – Leitfaden zur Sicherung der Eignung und Angemessenheit von Vorfall-Untersuchungsmethoden (ISO/IEC 27041:2015); Deutsche Fassung EN ISO/IEC 27041:2016

ISO 27042 – Leitfaden zu Analyse und Interpretation digitaler Beweismittel

DIN EN ISO/IEC 27042:2016-12

Informationstechnik – IT-Sicherheitsverfahren – Leitfaden für die Analyse und Interpretation digitaler Beweismittel (ISO/IEC 27042:2015); Deutsche Fassung EN ISO/IEC 27042:2016

ISO 27043 – Leitfaden zu Vorfall-Untersuchungsprozessen

DIN EN ISO/IEC 27043:2016-12

Informationstechnik – IT-Sicherheitsverfahren – Grundsätze und Prozesse für die Untersuchung von Vorfällen (ISO/IEC 27043:2015); Deutsche Fassung EN ISO/IEC 27043:2016

ISO 27050 – Leitfaden zur elektronischen Erkennung

ISO/IEC 27050-1:2019-11

Informationstechnik – Elektronische Erkennung
Teil 1: Überblick und Konzepte, Teil 2: Anleitung zur Verwaltung/Management der elektronischen Erkennung, Teil 3: Verhaltenskodex für die elektronische Erkennung

ISO 27102 – Leitfaden zu Cyberversicherungen

ISO/IEC 27102:2019-08

Informationstechnik – Sicherheitsverfahren – Informationssicherheitsmanagementleitfäden für Cyberversicherungen

ISO 27103 – Leitfaden zu Cybersicherheit und ISO/IEC-Standards

ISO/IEC TR 27103:2018-02

Informationstechnik – Sicherheitsverfahren – Cybersicherheit und ISO und IEC Standards

ISO 27550 – Privacy Engineering für System-Lebenszyklusprozesse

ISO/IEC TR 27550:2019-09

Informationstechnik – Sicherheitsverfahren – Privacy Engineering

ISO 27799 – Informationssicherheitsmanagement im Gesundheitssektor

DIN EN ISO 27799:2016-12

Medizinische Informatik – Informationssicherheitsmanagement im Gesundheitswesen bei Verwendung der ISO/IEC 27002 (ISO 27799:2016); Englische Fassung EN ISO 27799:2016