Hauptinhalt

ISO 27001

Informationssicherheit ist heute (über-)lebensnotwendig für Organisationen aller Art. Vertraulichkeit, Integrität und Verfügbarkeit von Information werden zum strategischen Erfolgsfaktor, wenn es um das Vertrauen der Kunden, Geschäftspartner und der Öffentlichkeit geht.

KONTAKT

Swiss TS Technical Services AG
Zertifizierungsstelle
Richtistrasse 15
8304 Wallisellen
Telefon +41 44 877 62 30
Fax +41 44 877 62 32
E-Mail zs@swissts.ch

Zusammenfassung

ISO 27001:2005 ist der weltweit angewendete Standard für die Zertifizierung eines Informationssicherheitsmanagementsystems. Dieses hat zum Ziel, die Informationen basierend auf einer Analyse der Geschäftsrisiken bezüglich Vertraulichkeit, Integrität und Verfügbarkeit zu schützen.

ISO 27001:2005 ist ähnlich strukturiert wie die ISO 9001:2008, beinhaltet aber nicht die Geschäftsprozesse, sondern die Massnahmen zur Sicherstellung der Informationssicherheit. Ein ISO 9001:2008 kompatibles Managementsystem ist zwar nicht Voraussetzung, aber die ideale Basis. Fehlt es, müssen noch die Prozesse beschrieben werden, in die die Massnahmen eingebettet werden.

Entwicklung

Neue Version ISO 27001:2013

Die ISO 27001:2013 wurde mit Datum 01. Oktober 2013 herausgegeben. Parallel ist auch die neue Version der ISO 27002:2013 erschienen. Bis zum 30. Sep. 2014 kann noch nach der Version ISO 27001:2005 zertifiziert werden. Danach sind nur noch Zertifizierungen nach ISO 27001:2013 möglich.

Eine bereits zertifizierte Organisation muss ihr Informationssicherheitsmanagementsystem spätestens bis zum 30. Sep. 2015 ihr System auf ISO 27001:2013 umgestellt und durch ihre Zertifizierungsstelle auditiert haben.

Ab dem 1. Okt. 2015 sind alle ISO 27001:2005 Zertifikate ungültig!
Die Umstellungsplanung muss bis zum 31. Juli 2014 abgeschlossen sein. Weitere Informationen zum neuen Standard finden Sie in den FAQs.

 

Geschichte

Die ISO 27001:2005 ist fast unverändert von dem britischen Standard BS 7799-2 übernommen worden. Bereits 1993 hat das Department of Trade and Industry (DTI) in UK eine Sammlung von Best Practices in der Informationssicherheit  - den Code of Practice - herausgegeben, der 1995 zum British Standard BS 7799-1 wurde. Er gewann im angelsächsischen Raum sehr schnell an Popularität und der Wunsch nach der Möglichkeit einer Zertifizierung wuchs. Um dem zu entsprechen wurde mit dem BS 7799-2 ein Anforderungskatalog erstellt, nach dem sich eine Organisation zertifizieren lassen konnte. Zwar erfuhren beide Standards international eine sehr hohe Anerkennung, doch blieben sie mehrheitlich Insidern vorbehalten, bis im Jahre 2000 zunächst der BS 7799-1 zur ISO 17799 wurde und 5 Jahre später der BS 7799-2 zur ISO 27001. Es war geplant, eine ganze Normenfamilie zur Informationssicherheit aufzubauen. Zunächst wurde 2007 die ISO 17799 in ISO 27002 umbenannt. Weitere Normen sind bereits veröffentlicht oder werden folgen:

ISO 27003 Leitfaden zur Implementierung (zur Zeit in der Entwicklung)

ISO 27004 Information Security Management Metrics and Measurements (zur Zeit in der Entwicklung)

ISO 27005:2008  ISMS Risikomanagement

ISO 27006:2007 Anforderungen an  Zertifizierstellen

ISO 27011:2008 Guidelines for telecommunications organizations

ISO 27799:2008 Guidelines for health informatics

Nutzen

Organisationen, die ISO 27001 erfolgreich eingeführt haben, profitieren von:

  • Optimaler Mitteleinsatz zum Schutz der Informationen
  • Geschäftsrisiken und Schutzbedarf sind identifiziert
  • Reduzierung des Haftungsrisikos für GL und VR
  • Beherrschung der Top-Risiken
  • Garantierte Verfügbarkeit und Integrität der Informationen
  • Vertrauensbildung bei Kunden und Geschäftspartner
  • Nachhaltiger Schutz des Unternehmenswertes ‚Information’
  • Sicherheitsbewusstsein bei allen Mitarbeitenden