Die Informationssicherheit ist durch diverse Standards geprägt. Der British Standard BS 7799 gehört dazu ebenso wie die ISO-Standards ISO 17799 und ISO 13335. Mit der Veröffentlichung der Normenreihe ISO 2700x wird die Normenvielfalt übersichtlicher und es werden bekannte Normen, wie die vorher angeführten, unter einem Standard vereint.
ISO-Zertifizierung für die Informationssicherheit
Mit der ISO-Zertifizierung der Informationssicherheit erfährt dieses Thema ein Aufwertung, da ein ISO- Zertifikat eine hohe Akzeptanz aufweist. In die Normenreihe ISO 2700x fließen langfristig alle sicherheitsrelevanten Aspekte ein. Hinzu kommt, dass sich diese Normenreihe mit den ISO-Qualitäts- und Umweltstandards ISO 9000 und ISO 14000 ergänzen.
Der derzeitige Normenvorschlag ISO 27000 definiert das Vokabular, das in der Normenreihe ISO 2700x verwendet wird und das ein umfassendes und übersichtliches Regelwerk für die Informationssicherheit bildet, das auch von KMUs benutzt werden kann.
Die Normenreihe ISO 2700xx
Die Normenreihe ISO 2700x besteht aus der Norm ISO 27001, in der die Zertifizierungsanforderungen an ein Information Security Management System ( ISMS) definiert sind, aus ISO 27002, die die frühere ISO 17799:2005 einschließt und als Leitfaden zur Implementierung dient. ISO 27003 enthält weitere Implementierungsrichtlinien, ISO 27004 definiert die Kennzahlensysteme für ISMS, ISO 27005 beschreibt das Risikomanagement, ISO 27006 beschreibt wie Institutionen Informationssicherheits-Managementsysteme zertifizieren und ISO 27007 die Richtlinien für das Audit.
Die Normenreihe grenzt sich ab von der nationalen Variante des Bundesamt für Sicherheit in der Informationstechnik ( BSI) mit den Normen BSI-100-1, BSI-100-2, BSI-100-3,
ISO 27000 enthält als Normenvorschlag das Vokabular, das in der Normenreihe ISO 2700x verwendet wird.
ISO 27001:2005 wurde aus der ISO 17799 bzw. aus dem BS 7799 entwickelt und definiert alle mit dem Betrieb und der Implementierung sicherheitsrelevanter Funktionen eines Informationssicherheits-Managementsystems (ISMS) zusammenhängenden Funktionen in Unternehmen. In diesem Zusammenhang sind zu nennen dessen Einführung, Betrieb und Wartung sowie die damit in Zusammenhang stehenden Risiken für die Organisation. In ihr wird die Implementierung sicherheitsrelevanter Funktionen beschrieben.
ISO 27002: Der Standard ISO 27002 ist der umbenannte Standard ISO 17799 und befasst sich mit den Kontrollmechanismen in der Informationssicherheit.
ISO 27003 gibt Anleitungen für die Entwicklung und die Implementierung eines Information Security Management System (ISMS).
ISO 27004 befasst sich mit den Messmethoden und Metriken der Informationssicherheit. Es wird in der vorliegenden Form nicht veröffentlicht sondern erst nach einer Überarbeitung.
ISO 27005 ist die zukünftige Norm für das Risikomanagement und wird später veröffentlicht.
In der ISO 27006 sind die Richtlinien für die Akkreditierung von Organisationen als Zertifizierungsstelle ausgearbeitet. Da die Norm die marktrelevanten Anforderungen an einen guten Support von ISO 27001 berücksichtigen soll, wird die vorherige Norm überarbeitet und ersetzt.