Österreich
Secure Your Business
 

ISO-27x: SUBNORMEN ALS IMPLEMENTIERUNGSHILFE

  

ISO27x_Schachfiguren_web

Mit der Veröffentlichung der Norm ISO/IEC 27001 im Oktober 2005 wurde das Thema Informationssicherheit auf ein internationales Niveau gehoben. Aus dem britischen Vorgängermodell BS 7799-2 wurde ein weltweit anerkannter Standard. Im Jahr 2007 folgte die Umwandlung des Implementierungsleitfadens BS 7799-1 in die ISO 27002, als erste nicht-zertifizierbare Subnorm der ISO-27x-Familie. Die Dynamik des Themas zeigte sich an der weltweit sprunghaften Zunahme von Zertifizierungen: jährlich mehr als 1.000 Neuzugänge.

Mit der Ankündigung weiterer Subnormen zu ISO-27x setzte die International Organisation for Standardisation ein starkes Signal für die Zukunft: Der Standard für Informationssicherheit wird nach dem aktuellen Fahrplan ständig um branchen- und themenspezifische Schwerpunkte erweitert.

 

Schon im Jahr 2008 folgte die Guideline für „Information Security Risk Management“ ISO/IEC 27005. Sie bietet Richtlinien, Tabellen und Beispiele zu Risikomanagement in Bezug auf den Zertifizierungsstandard ISO 27001 und ersetzt die Richtlinien TR 13335-3:1998 sowie TR 13335-4:2000 als Zusammenführung und Erweiterung dieser Reports.

 

  

Weitere Subnormen der ISO-27x-Reihe*

 

ISO/IEC 27000: Mit “Fundamentals and Vocabulary” vermittelt ISO 27000 einen Überblick und eine inhaltliche Einführung zu den ISO-27x-Standards sowie zum speziellen Vokabular der Zertifizierungsnorm ISO 27001.

 

ISO/IEC 27003: Unter dem Titel "Information Security Management System Implementation Guidance" bietet ISO 27003 tiefergehende Informationen über das PDCA-Modell: "How to implement, operate, monitor, review and improve ISMS". In der Subnorm werden technische Richtlinien aus TR 13335 zusammengefasst.

 

ISO/IEC 27004: Die Subnorm für "Information Security Management Measurements" soll helfen, die Effektivität eines ISMS innerhalb des PDCA-Zyklus zu messen und umfasst Messmethoden in Bezug auf Benchmarking und Performance Targeting. Die Inhalte zielen auf ISO-27001-Prozesse und auf Controls nach ISO 27002 ab.

 

ISO/IEC 27006: Die „Requirements for Certification Bodies” leiten Zertifizierungsorganisationen durch den formalen Prozess der Registrierung und Zertifizierung anderer Unternehmen.

 

ISO/IEC 27007: guideline for information security management systems auditing 
ISO/IEC 27008: guidance for auditing information security controls
ISO/IEC 27010: information security management for sector-to-sector communications
 

  

Subnormen der ISO-27x-Reihe für Branchen und Spezialthemen*

 

ISO/IEC 27799: Die Guideline “Health Informatics - information security management in health using ISO/IEC 27002” enthält Best Practices für den Gesundheitssektor. Dazu gehören Themen wie: sicherer Umgang mit Patientendaten, Sound- und Videoaufnahmen, Archivierung oder Datenübermittlung.

 

ISO/IEC 27011: Die Norm dient als Leitfaden für “Information Security Management ... for Telecommunications Organizations", auch bekannt als ITU X.1051.

 

ISO/IEC 27013: guidance on the integrated implementation of ISO 20000 and ISO 27001
ISO/IEC 27014: information security governance
ISO/IEC 27015: information security management systems guidance for financial services
ISO/IEC 27031: ICT-focused standard on business continuity
ISO/IEC 27032: guidelines for cyber security
ISO/IEC 27033: replaces ISO/IEC 18028 on IT network security
ISO/IEC 27034: guidelines for application security
ISO/IEC 27035: replace ISO TR 18044 on security incident management
ISO/IEC 27036: guideline for security of outsourcing
ISO/IEC 27037: guideline for digital evidence
 

 

 

*Diese Normen sind nicht zertifizierbar, sondern beziehen sich inhaltlich auf die Anforderungen des Zertifizierungsstandards ISO/IEC 27001.

 

 

 

 

 
 
CIS - Certification & Information Security Services (Schweiz) AG T +41 79 3348779 office.ch@cis-cert.com Impressum

AGB