https://wiki-de.moshellshocker.dns64.de/index.php?action=history&feed=atom&title=ISO%2FIEC_27001ISO/IEC 27001 - Versionsgeschichte2026-06-12T04:57:37ZVersionsgeschichte dieser Seite in Wikipedia (Deutsch) – Lokale KopieMediaWiki 1.43.8https://wiki-de.moshellshocker.dns64.de/index.php?title=ISO/IEC_27001&diff=456281&oldid=previmported>Mateus2019: + Abb.2026-03-11T13:26:50Z<p>+ Abb.</p>
<p><b>Neue Seite</b></p><div>{{Infobox Norm<br />
| Typ = ISO/IEC<br />
| Nummer = 27001<br />
| Bereich = Informationstechnik<br />
| Titel = Informationssicherheit, Cybersicherheit und Datenschutz - Informationssicherheitsmanagementsysteme - Anforderungen<br />
| Beschreibung =<br />
| Stand = 2022-10<ref>{{Internetquelle |url=https://www.iso.org/standard/82875.html |titel=ISO/IEC 27001:2022 |abruf=2022-11-04 |werk=iso.org}}</ref><br />
| Berichtigung Titel =<br />
| Berichtigung =<br />
| Zurückziehdatum =<br />
| ICS = 03.100.70, 35.030<br />
| Übernahme von =<br />
| nationale Übernahmen =<br />
}}<br />
[[Datei:Bundesamt für Sicherheit in der Informationstechnik (ISO 27001-Zertifikat - kreisrundes Emblem) etwa Jahr 2025.png|mini|Zertifikat des [[Bundesamt für Sicherheit in der Informationstechnik|Bundesamtes für Sicherheit in der Informationstechnik]] (etwa aus 2025)]]<br />
Die internationale [[Normung|Norm]] '''[[Internationale Organisation für Normung|ISO]]/[[International Electrotechnical Commission|IEC]] 27001''' ''Information technology – Security techniques – Information security management systems – Requirements'' spezifiziert die Anforderungen für Einrichtung, Umsetzung, Aufrechterhaltung und fortlaufende Verbesserung eines dokumentierten [[Information Security Management System|Informationssicherheits-Managementsystems]] unter Berücksichtigung des Kontexts einer Organisation. Darüber hinaus beinhaltet die Norm Anforderungen für die Beurteilung und Behandlung von [[Informationssicherheit]]srisiken entsprechend den individuellen Bedürfnissen der Organisation.<ref>{{Internetquelle |url=https://www.beuth.de/de/norm/din-iso-iec-27001/230311916 |titel=DIN ISO/IEC 27001:2015-03 – Beuth.de |werk=www.beuth.de |abruf=2016-11-24}}</ref> Hierbei werden sämtliche Arten von Organisationen (z.&nbsp;B. Handelsunternehmen, staatliche Organisationen, Non-Profitorganisationen) berücksichtigt. Die Norm wurde auch als [[DIN-Norm]] veröffentlicht und ist Teil der ''[[ISO/IEC 27000-Reihe|ISO/IEC&nbsp;2700x-Familie]]''.<br />
<br />
== Übersicht ==<br />
Die Norm spezifiziert Anforderungen für die Implementierung von geeigneten Sicherheitsmechanismen, welche an die Gegebenheiten der einzelnen Organisationen adaptiert werden sollen. Der deutsche Anteil an diesem internationalen Normungsprojekt wird vom [[Normenausschuss Informationstechnik und Anwendungen|DIN NIA-01-27 IT-Sicherheitsverfahren]] betreut.<br />
<br />
Die ISO/IEC 27001 wurde entworfen, um die Auswahl geeigneter Sicherheitsmechanismen zum Schutz sämtlicher Werte (Assets) in den Wertschöpfungsketten sicherzustellen. Sie besteht aus zehn Hauptkapiteln, die von 93 normativ bindenden Bestimmungen im Anhang ergänzt werden. Diese werden in der Norm [[ISO/IEC 27002]] genauer erläutert.<ref name=":1">{{Literatur |Autor=Heinrich Kersten |Titel=ISO 27001: Management der Informationssicherheit Nach Den Aktuellen Standards |Auflage=1st ed |Verlag=Springer Fachmedien Wiesbaden GmbH |Ort=Wiesbaden |Datum=2023 |Reihe=Edition Series |ISBN=978-3-658-42243-1 |Abruf=2025-07-14}}</ref><br />
<br />
== Bestandteile ==<br />
In der ISO/IEC 27001 sind Vorgaben zu folgenden und weiteren Bereichen festgehalten:<br />
<br />
[[Risikomanagement]]: Bewertung aller für die Informationssicherheit relevanten Werte und mit diesen zusammenhängenden Risiken, die die Verfügbarkeit, Integrität oder Vertraulichkeit von Daten beeinflussen. Zu bewerten sind neben Programmen und physischen Objekten auch Prozesse und Personen bzw. deren Funktionen. Danach wird ein Risikoakzeptanzniveau festgelegt und für Werte, die dieses überschreiten, sind Maßnahmen festzulegen.<br />
<br />
Rollen: Meist wird die Norm durch die Ernennung eines sogenannten ISB (Informationssicherheitsbeauftragter) umgesetzt, der gegenüber dem Management eine direkte Berichts- und Beratungsfunktion wahrnimmt und bei allen die Informationssicherheit betreffenden Belangen einzubeziehen ist. Allerdings ist ein solcher nicht normativ verpflichtend, da lediglich eine Rolle gefordert wird, die an die Leitungsebene berichtet, weshalb die Verantwortung auch von einem Gremium übernommen werden kann.<br />
<br />
[[Lieferantenmanagement]]: Es ist eine Bewertung der Lieferanten erforderlich und es sind bei kritischen und hoch kritischen Lieferanten Maßnahmen zu treffen. Die genaue Festlegung der Kriterien und der Maßnahmen obliegt der Organisation, die die ISO/IEC 27001 implementiert.<br />
<br />
Umgang mit Sicherheitsereignissen und Vorfällen: Es sind Prozesse zur Meldung und Behandlung von Sicherheitsereignissen zu definieren. Potenzielle Notfälle müssen analysiert werden, und es sind Maßnahmen zur Behandlung von besonders kritischen Szenarien zu erstellen.<br />
<br />
Technische Gegebenheiten: Die Norm schreibt explizit die Verwendung einiger technischer Maßnahmen (z. B. zeitgemäßer [[Kryptographie]]) vor, jedoch sind die meisten Vorgaben der ISO/IEC 27001 organisatorischer Natur.<br />
<br />
Geschäftskontinuität: Um die Kontinuität des Geschäfts sicherzustellen sind potenzielle Auswirkungen von verschiedenen Ereignissen zu analysieren. Dies geschieht praktisch meist durch eine BIA ([[Business Impact Analysis]]).<br />
<br />
Kontinuierliche Verbesserung: Das Informationssicherheitsmanagementsystem ist kein starres Konstrukt, das einmal implementiert werden kann und dann nie wieder verändert werden muss, stattdessen ist eine kontinuierliche Verbesserung vorgesehen. Diese wird unter anderem durch verpflichtende Überprüfungen durch eine fachkundige Person und eine Bewertung durch das Management getrieben.<ref name=":1" /><br />
<br />
== Historische Entwicklung ==<br />
* 1993: Der britische Berufsverband [[National Computing Centre]] (NCC) veröffentlicht ein erstes Dokument.<br />
* 1995: Veröffentlichung als (britischer) nationaler Standard, der es Unternehmen ermöglicht, ihre Prozesse zu zertifizieren.<br />
* 2005: Die ISO/IEC 27001:2005 ging aus dem zweiten Teil des britischen Standards [[BS 7799]]-2:2002 hervor. Sie wurde als internationale Norm erstmals am 15. Oktober 2005 veröffentlicht.<br />
* Seit September 2008 liegt die Norm auch als DIN ISO/IEC 27001:2008 in der deutschen Übersetzung vor. Die deutsche Ausgabe wird vom DIN NIA-01-27 ''IT-Sicherheitsverfahren'' betreut, der an der internationalen Normungsarbeit im zuständigen Komitee ''ISO/IEC JTC 1/SC 27'' mitwirkt.<br />
* Am 25. September 2013 wurde die Version ''ISO/IEC 27001:2013'' in englischer Sprache veröffentlicht.<ref name=":0">{{Internetquelle |url=https://www.bsigroup.com/en-GB/iso-27001-information-security/ISOIEC-27001-Revision/ |titel=The new version of ISO/IEC 27001:2013 is here |werk=bsigroup.com |datum=2013-09-25 |abruf=2013-10-01}}</ref><br />
* Am 10. Januar 2014 wurde die Version ''DIN ISO/IEC 27001:2014'' als Entwurf in deutscher Sprache veröffentlicht.<ref>{{Internetquelle |url=https://www.beuth.de/de/norm-entwurf/din-iso-iec-27001/194813080/ |titel=DIN ISO/IEC 27001:2014-02 &#91;NEU&#93; |werk=beuth.de |datum=2014-01-10 |abruf=2014-11-15}}</ref><br />
* Im März 2015: wurde die Version ''DIN ISO/IEC 27001:2015'' in deutscher Sprache veröffentlicht.<ref>{{Internetquelle |url=https://www.beuth.de/de/norm/din-iso-iec-27001/230311916?SearchID=869372924 |titel=DIN ISO/IEC 27001:2015-03 &#91;NEU&#93; |werk=beuth.de |abruf=2015-03-26}}</ref><br />
* Im Juni 2017 wurde die Version der ''DIN EN ISO/IEC 27001:2017'' in deutscher Sprache veröffentlicht.<ref>{{Internetquelle |url=https://www.beuth.de/de/norm/din-en-iso-iec-27001/269670716 |titel=DIN EN ISO/IEC 27001:2017-06 – Beuth.de |abruf=2017-11-21}}</ref><br />
* Am 25. Oktober 2022 wurde die überarbeitete Version ''ISO/IEC 27001:2022'' in englischer Sprache veröffentlicht. Seit Januar 2024 ist diese auch in deutscher Sprache als DIN EN ISO/IEC 27001 - 2024-01 veröffentlicht.<ref>{{Internetquelle |url=https://www.beuth.de/de/norm/din-en-iso-iec-27001/370680635 |titel=DIN EN ISO/IEC 27001 - 2024-01 - Beuth.de |sprache=de |abruf=2024-04-04}}</ref><br />
<br />
== Anwendung ==<br />
Die ISO/IEC 27001 soll für verschiedene Bereiche anwendbar sein, insbesondere:<ref>{{Internetquelle |url=https://smct-management.de/themenreihe-iso-27001-definition-des-anwendungsbereichs-in-der-iso-27001/|titel=Anwendungsbereiche|werk=smct-management.de |hrsg=Stefan Stroessenreuther |datum=2024|abruf=2024-03-02}}</ref><br />
<br />
1. Formulierung von Anforderungen und Zielsetzungen zur Informationssicherheit:<br />
* Beschreibung der Bedeutung von klaren Anforderungen und Zielen für die Informationssicherheit.<br />
* Beispiel: Ein Finanzunternehmen formuliert Anforderungen für die sichere Speicherung und den Zugriff auf vertrauliche Kundendaten, um die Vertraulichkeit und Integrität der Informationen sicherzustellen.<br />
2. Management von Sicherheitsrisiken:<br />
* Erklärung, wie die Norm dazu beiträgt, Sicherheitsrisiken effektiv zu managen.<br />
* Beispiel: Ein Technologieunternehmen führt regelmäßige Risikobewertungen durch, um potenzielle Bedrohungen wie Datenlecks oder [[Cyberangriff]]e zu identifizieren und angemessene Gegenmaßnahmen zu ergreifen.<br />
3. Gewährleistung der Konformität mit Gesetzen und Regulierungen:<br />
* Erläuterung, wie die Norm Organisationen dabei unterstützt, rechtliche Anforderungen im Bereich der Informationssicherheit zu erfüllen.<br />
* Beispiel: Gesundheitsdienstleister stellt sicher, dass seine Informationssicherheitsmaßnahmen den Anforderungen der [[Health Insurance Portability and Accountability Act]] (HIPAA) entsprechen, um Patientendaten zu schützen und rechtliche Haftung zu vermeiden.<br />
4. Implementierung und Management von Maßnahmen zur Sicherstellung von spezifischen Zielen zur Informationssicherheit:<br />
* Beschreibung des Prozessrahmens, den die Norm für die Umsetzung von Sicherheitsmaßnahmen bietet.<br />
* Beispiel: Ein E-Commerce-Unternehmen implementiert Verschlüsselungsmechanismen für seine Online-Zahlungsplattform, um die Vertraulichkeit von Kreditkartendaten zu gewährleisten und Betrug zu verhindern.<br />
5. Identifikation und Definition von bestehenden sowie neuen Informationssicherheits-Managementprozessen:<br />
* Darstellung, wie die Norm Organisationen bei der Identifizierung und Definition ihrer Sicherheitsmanagementprozesse unterstützt.<br />
* Beispiel: Ein Telekommunikationsunternehmen identifiziert und definiert neue Prozesse zur Überwachung und Reaktion auf Sicherheitsvorfälle, um die Betriebskontinuität und den Schutz sensibler Kundendaten sicherzustellen.<br />
6. Verwendung durch interne und externe [[Auditor]]en:<br />
* Erklärung, wie interne und externe Auditoren die Norm nutzen können, um die Umsetzung von Richtlinien und Standards zu überprüfen.<br />
* Beispiel: Ein unabhängiger Prüfer verwendet die ISO/IEC 27001 als Rahmenwerk, um die Wirksamkeit der Informationssicherheitsmaßnahmen eines Unternehmens zu überprüfen und potenzielle Schwachstellen aufzudecken.<br />
<br />
== Zertifizierung ==<br />
=== Managementsysteme ===<br />
Viele (Groß-)Firmen haben interne Sicherheitsrichtlinien. Mithilfe von internen Überprüfungen (auch [[Audit]] genannt) können diese Unternehmen ihr Vorgehen im Vergleich zu ihren eigenen Standards überprüfen. Dennoch ist es schwierig, ihre Kompetenzen im Bereich der IT-Sicherheit öffentlichkeitswirksam zu präsentieren, insbesondere gegenüber potenziellen Kunden. Aus diesem Grund kann z.&nbsp;B. eine Zertifizierung nach anerkannten Standards wie nach ''ISO/IEC 27001'', ''ISO/IEC 27001-Zertifikat auf Basis von IT-Grundschutz'' oder nach ''[[IT-Grundschutz]]''<ref>{{Internetquelle |url=https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/IT-Grundschutz/Zertifizierte-Informationssicherheit/zertifizierte-informationssicherheit_node.html|titel=Zertifizierte Informationssicherheit|werk=www.bsi.bund.de |hrsg=Bundesamt für Informationssicherheit |datum=2021-06-10 |abruf=2022-02-28}}</ref> sinnvoll sein.<br />
<br />
Organisationen haben verschiedene Möglichkeiten, die Konformität zu einer Norm zu demonstrieren:<br />
* sie können ihre Konformität von sich aus verkünden,<br />
* sie können ihre Kunden bitten, die Konformität zu bestätigen, und<br />
* ein unabhängiger externer Auditor kann die Konformität verifizieren.<ref>{{Internetquelle |url=http://www.iso.org/iso/home/standards/management-standards.htm |titel=Management system standards. |werk=iso.org |hrsg=International Organization for Standardization |datum=2013 |abruf=2013-09-27}}</ref><br />
<br />
Es ist jedoch wichtig zu beachten, dass die ISO selbst keine Zertifizierung durchführt, sondern lediglich Standards hierfür festlegt.<br />
<br />
=== Personen ===<br />
Es existieren verschiedene, meist modulare, Schemata zur Ausbildung und Zertifizierung von Personen im Bereich der [[ISO/IEC 27000-Reihe]]. Diese werden von unterschiedlichen Zertifizierungsunternehmen gestaltet, siehe [[Liste der IT-Zertifikate]].<br />
<br />
== Weblinks ==<br />
* [https://www.beuth.de/de/norm/din-en-iso-iec-27001/370680635 DIN EN ISO/IEC 27001:2024-01 bei Beuth Verlag]<br />
* [https://www.iso.org/standard/27001 Veröffentlichung der ISO/IEC 27001:2022 (englisch)]<br />
* [https://www.compliance-net.de/iso27001_2013 Ein Vergleich der Versionen ISO/IEC 27001:2005 und 27001:2013]<br />
* [https://www.tenfold-security.com/iso-27001-anforderungen/ ISO 27001:2022 und ihre Anforderungen]<br />
<br />
== Einzelnachweise ==<br />
<references /><br />
<br />
[[Kategorie:ISO-Norm|27001]]<br />
[[Kategorie:DIN|Iso 27001]]<br />
[[Kategorie:IT-Sicherheit|Iso Iec 27001]]<br />
[[Kategorie:IEC-Norm|27001]]</div>imported>Mateus2019