Zum Hauptinhalt springen

ISO 27001 - Informationssicherheits-Managementsystems

Information technology – Security techniques – Information security management systems – Requirements

Die internationale Norm ISO 27001 spezifiziert die Anforderungen für Einrichtung, Umsetzung, Aufrechterhaltung und fortlaufende Verbesserung eines dokumentierten Informationssicherheits-Managementsystems unter Berücksichtigung des Kontexts einer Organisation.

BSI-Standard 200-1 definiert dabei die allgemeinen Anforderungen an ein Managementsystem.

Darüber hinaus enthält die Reihe ISO 27000 bzw. 2700x noch weitere Dokumente, die unterschiedliche Aufgaben- und Teilbereiche abdecken:

  • ISO 27000: Überblick über das Thema und Definition wesentlicher Begriffe
  • ISO 27001: Anforderungen an ein ISMS, Grundlage für ISO-Zertifizierung und -Audits
  • ISO 27002: Details zu notwendigen Sicherheitsmaßnahmen
  • ISO 27003: Leitfaden zur Umsetzung eines ISMS
  • ISO 27004: Richtlinien für die Messung und Verbesserung eines ISMS
  • ISO 27005: Richtlinien für das Risikomanagement
  • ISO 27006, 27007 & 27008: Vorgaben an Prüfstellen und ISO-Audits

Die insgesamt über 20 Dokumente der ISO/IEC 27000er Reihe befassen sich darüber hinaus mit speziellen Themenbereichen wie der Sicherheit von Cloud-Diensten (27017), Datenschutz (27701) oder Sicherheitsmanagement im Gesundheitswesen (27799).

image-20240512074714785

Bei ISO 27001 handelt es sich grundsätzlich um eine freiwillige Zertifizierung. Unternehmen können mithilfe von ISO 27001 gegenüber Kunden und Partnern den Nachweis erbringen, dass sie angemessene IT-Sicherheitsmaßnahmen verwenden, diese durch interne Audits kontrollieren und laufend verbessern.