https://wiki-de.moshellshocker.dns64.de/index.php?action=history&feed=atom&title=BS_7799BS 7799 - Versionsgeschichte2026-06-03T12:24:51ZVersionsgeschichte dieser Seite in Wikipedia (Deutsch) – Lokale KopieMediaWiki 1.43.8https://wiki-de.moshellshocker.dns64.de/index.php?title=BS_7799&diff=296621&oldid=previmported>Invisigoth67: typo2026-01-10T12:34:19Z<p>typo</p>
<p><b>Neue Seite</b></p><div>Die Norm '''BS 7799-1''' (BS=''British Standard'') definiert einen „Code of practice“ für [[Informationssicherheit]]. Die Variante BS 7799-1:1999 wurde von der [[International Organization for Standardization|ISO]] als [[ISO/IEC 17799]] übernommen und später in [[ISO/IEC 27002]] umbenannt. Nach dieser Norm ist ein [[internes Audit]] des Unternehmens möglich, jedoch keine extern gültige [[Zertifizierung]].<br />
<br />
Der '''BS 7799-2''' (vollständige Bezeichnung: ''BS 7799-2:2002 (Information security management systems – Specification with guidance for use)'') stellt die [[Spezifikation]] für ein Informations-Sicherheits-Management-System ([[ISMS]]) dar. Dieses Managementsystem fügt sich in eine Reihe anderer, internationaler<br />
Management-Systeme ([[ISO 9001]], [[ISO 14001]], [[ISO 20000]]) ein. Der Standard BS 7799-2:2002 wurde im Jahr 2005 als [[ISO/IEC 27001]] international genormt.<br />
<br />
== Zielsetzung ==<br />
Der BS 7799 wurde mit dem Ziel veröffentlicht, Führungskräften und Mitarbeitern eines Unternehmens ein Modell zur Verfügung zu stellen, das die Einführung und den Betrieb eines effektiven [[ISMS]] erlaubt. Die Einführung eines ISMS stellt eine wesentliche strategische Entscheidung dar, die durch die Unternehmensstrategie und die Geschäftsziele des Unternehmens beeinflusst wird. Der BS 7799 wird zur Prüfung der Organisation verwendet. Dies beinhaltet ebenfalls die Anwendung durch akkreditierte Zertifizierungsunternehmen.<br />
<br />
== Entstehungsgeschichte ==<br />
Die Abteilung Commercial Computer Security Center (CCSC) der [[Department of Trade and Industry (Vereinigtes Königreich)|Department of Trade and Industry (DTI)]] entwickelte als Vorreiter im Bereich des IT-Sicherheitsmanagements die sogenannten ''Green Books''. Sie enthielten zum einen den britischen Entwurf von Evaluationskriterien für die IT-Sicherheit und ein dazugehöriges Evaluierungs- und Zertifizierungs-Schema. Gleichzeitig wurde ein „code of good security practice“ entwickelt, welcher im Ergebnis die Bücher ''User’s Code of Practice (V11)'' und ''Vendor’s Code of Practice (V31)'' hervorbrachte. Die englischen ''Green Books'' wurden von Februar bis November&nbsp;1989 als Vorentwurf (englisch: ''draft'') veröffentlicht und kamen nicht über diesen Status hinaus.<ref name="Voelker_2004" details="102">{{Internetquelle |url=https://www.secorvo.de/publikationen/bs7799-voelker-2004.pdf |titel=BS 7799 |titelerg=Von „Best Practice“ zum Standard |autor=Jörg Völker |werk=Datenschutz und Datensicherheit (DuD) |datum=2004 |zugriff=2013-12-06 |format=PDF; 277&nbsp;kB |kommentar=Nr. 28, S. 102–108}}</ref><ref name="CSIC" details="154 f. und 160">D. W. Roberts: ''Evaluation criteria for it security.'' Computer Security and Industrial Cryptography, Band 741. Springer, Berlin / Heidelberg 1993, S.&nbsp;149–161.</ref><br />
<br />
1992 berief das britische DTI eine Kommission. Gemeinsam mit britischen Unternehmen und Organisationen sollten sie die akzeptierten Best Practices im Bereich der Informationssicherheit evaluieren. Zu den Firmen zählten [[Royal Dutch Shell]], [[British Telecom]], [[The BOC Group|BOC]], [[Marks & Spencer]], [[Midland Bank]], [[Nationwide Building Society]] und [[Unilever]].<ref name="Voelker_2004" details="103 "/><br />
<br />
Die Ergebnisse wurden 1993 als „Code of Practice“ veröffentlicht. Dieser wurde 1995 vom [[British Standards Institute]] (BSI) adaptiert und als BS&nbsp;7799:1995 veröffentlicht. Diese Version des Standards fand jedoch keine weite Verbreitung, was primär auf seine geringe Flexibilität zurückzuführen ist. 1998 begann eine grundlegende Überarbeitung des Standards. UK-spezifische Verweise wurden entfernt und technische Entwicklung wie E-Commerce hinzugefügt. Der Standard wurde in den BS 7799-1:1999 (Teil&nbsp;1) und in den BS 7799-2:1998 (Teil&nbsp;2) aufgeteilt. Im Jahr 2000 adaptierte die [[Internationale Organisation für Normung|International Organization for Standardization (ISO)]] den Teil 1 zur ISO/IEC 17799:2000–Norm. 2005 wurde die Norm in ISO/IEC 27002:2005 umbenannt.<br />
<br />
Mit der BS 7799-2:1998 existierte eine Spezifikation, gegen die eine Prüfung und eine Zertifizierung stattfinden konnte. Zwei Jahre später gab es erneut signifikante Veränderungen an Teil 2, unter anderem die Einführung des [[Demingkreis|Plan-Do-Check-Act-Konzepts (PDCA)]], woraus Version BS 7799-2:2002 resultierte. Die Weiterentwicklung des BS 7799-2 ist die internationale Norm [[ISO/IEC 27001]], welche seit dem Jahr 2005 eine international gültige Zertifizierungsgrundlage darstellt.<br />
<br />
== Zertifizierung ==<br />
Eine Zertifizierung der Informationssicherheit ist grundsätzlich nur nach dem BS 7799-2:2002 möglich. Eine Zertifizierung nach ISO/IEC 17799 ist '''grundsätzlich''' nicht im Rahmen einer ''qualifizierten'' Zertifizierung möglich. Eine Zertifizierung ist dann qualifiziert, wenn sie durch eine Gesellschaft ausgeführt wird, die unter der Aufsicht einer Akkreditierungsgesellschaft wie dem [[United Kingdom Accreditation Service|United Kingdom Accreditation Service (UKAS)]] oder der [[Deutsche Akkreditierungsstelle|Deutschen Akkreditierungsstelle (DAkkS)]] steht. Im Falle einer BS 7799-Zertifizierung ist ein Zertifikat drei Jahre gültig. Ein Zwischenaudit (Surveillance Audit) erfolgt im Abstand von sechs Monaten. Eine vollständige Neuzertifizierung erfolgt nach drei Jahren.<br />
<br />
== Struktur ==<br />
'''0. Einleitung'''<br />
* 0.1. Allgemein<br />
* 0.2. Prozessansatz<br />
* 0.3. Vereinbarkeit mit anderen Managementsystemen<br />
<br />
'''1. Umfang'''<br />
* 1.1 Allgemein<br />
* 1.2. Anwendung<br />
<br />
'''2. Normative Referenzen'''<br />
<br />
'''3. Begriffsdefinitionen'''<br />
<br />
'''4. Anforderungen an ein Informationssicherheitsmanagementsystem (ISMS)'''<br />
* 4.1. Allgemeine Anforderungen<br />
* 4.2. Einführung und Leitung des ISMS<br />
* 4.3. Dokumentationsanforderungen<br />
<br />
'''5. Verantwortung der Leitung'''<br />
* 5.1. Verpflichtungen der Leitung<br />
<br />
'''6. Managementbeurteilung des ISMS'''<br />
* 6.1 Allgemein<br />
* 6.2. Beurteilungsvorgaben<br />
* 6.3. Beurteilungsergebnisse<br />
* 6.4. Interne ISMS Audits<br />
<br />
'''7. ISMS Verbesserung'''<br />
* 7.1. Kontinuierliche Verbesserung<br />
* 7.2. Korrigierende Maßnahmen<br />
* 7.3. Vorbeugende Maßnahmen<br />
<br />
== Managementsystem ==<br />
Die Kapitel 4 bis Kapitel 7 enthalten die organisatorischen Rahmenbedingungen für die Einführung und den Betrieb des Informationssicherheitsmanagementsystems.<br />
Dies sind im Wesentlichen:<br />
* Interne Revision<br />
* Überprüfung durch das Management<br />
* Dokumentenlenkung<br />
* Risikomanagement<br />
<br />
== Anhang A ==<br />
Der Anhang A des BS 7799 stellt eine Liste von Kontrollen bereit, die in sowohl technische als auch organisatorische Maßnahmen unterteilt sind. Diese Liste der Kontrollen ist in ISO/IEC 17799 in einem stärkeren Detaillierungsgrad enthalten. Die Kapitel 3 bis 12 des [[ISO/IEC 17799]]-2000 entsprechen den Kapitel A.3. bis A.12 des BS 7799-2:2002.<br />
<br />
== Siehe auch ==<br />
* [[IT-Sicherheitsaudit]]<br />
<br />
== Einzelnachweise ==<br />
<references /><br />
<br />
{{Rechtshinweis}}<br />
<br />
{{SORTIERUNG:Bs 7799}}<br />
[[Kategorie:IT-Sicherheit]]<br />
[[Kategorie:Abkürzung|BS07799]]<br />
[[Kategorie:Norm]]</div>imported>Invisigoth67