Was ist die ISO 27000 Serie von Standards?

Oktober 28, 2020 admin 0 Comments

Die ISO / IEC 270001-Normenfamilie, auch als ISO 27000-Serie bekannt, ist eine Reihe bewährter Verfahren, mit denen Unternehmen ihre Informationssicherheit verbessern können.

Veröffentlicht von ISO (die Internationale Organisation für Normung) und der IEC (International Electrotechnical Commission), die Serie erklärt, wie Best-Practice-Informationssicherheit Praktiken umzusetzen.

ein.,

Dies geschieht, indem ISMS-Anforderungen (Information Security Management System) festgelegt werden.

Ein ISMS ist ein systematischer Ansatz für das Risikomanagement, der Maßnahmen enthält, die sich mit den drei Säulen der Informationssicherheit befassen: Menschen, Prozesse und Technologie.

Die Serie besteht aus 46 individuellen Standards, darunter ISO 27000, die eine Einführung in die Familie sowie die Klärung von Schlüsselbegriffen und Definitionen bieten.,

Sie benötigen kein umfassendes Verständnis der ISO-Standards, um zu sehen, wie die Serie funktioniert, und einige sind für Ihr Unternehmen nicht relevant, aber es gibt einige Kernstandards, mit denen Sie vertraut sein sollten.

ISO 27001

Dies ist die zentrale Norm der ISO 27000-Serie, die die Implementierungsanforderungen für ein ISMS enthält.

Dies ist wichtig zu beachten, da ISO IEC 27001: 2013 der einzige Standard in der Serie ist, gegen den Organisationen auditiert und zertifiziert werden können.,

Das liegt daran, dass es einen Überblick über alles enthält, was Sie tun müssen, um Compliance zu erreichen, was in jedem der folgenden Standards erweitert wird.

ISO 27002

Dies ist eine ergänzende Norm, die einen Überblick über die Informationssicherheitskontrollen bietet, die Organisationen möglicherweise implementieren.

Organisationen müssen nur Kontrollen vornehmen, die sie für relevant halten – was sich bei einer Risikobewertung zeigt.,

Die Kontrollen sind in Anhang A der ISO 27001 beschrieben, aber während dies im Wesentlichen ein kurzer Überblick ist, enthält ISO 27002 einen umfassenderen Überblick, in dem erklärt wird, wie jede Kontrolle funktioniert, was ihr Ziel ist und wie Sie sie implementieren können.

ISO 27017 und ISO 27018

Diese zusätzlichen ISO-Standards wurden 2015 eingeführt und erläutern, wie Organisationen vertrauliche Informationen in der Cloud schützen sollten.

Dies ist in letzter Zeit besonders wichtig geworden, da Organisationen einen Großteil ihrer sensiblen Informationen auf Online-Server migrieren.,

ISO 27017 ist ein Verhaltenskodex für die Informationssicherheit, der zusätzliche Informationen darüber enthält, wie die Anhang-A-Kontrollen auf in der Cloud gespeicherte Informationen angewendet werden.

Unter ISO 27001 haben Sie die Wahl, diese als separate Steuerelemente zu behandeln. Sie würden also einen Satz von Steuerelementen aus Anhang A für Ihre „normalen“ Daten und einen Satz von Steuerelementen aus ISO 27017 für Daten in der Cloud auswählen.

ISO 27018 funktioniert im Wesentlichen auf die gleiche Weise, jedoch unter besonderer Berücksichtigung personenbezogener Daten.,

ISO 27701

Dies ist die neueste Norm der ISO 27000-Serie, die abdeckt, was Organisationen bei der Implementierung eines PIMS (Privacy Information Management System) tun müssen.

Es wurde als Reaktion auf die DSGVO (Datenschutz-Grundverordnung) geschaffen, die Organisationen anweist, „geeignete technische und organisatorische Maßnahmen“ zum Schutz personenbezogener Daten zu ergreifen, aber nicht angibt, wie sie dies tun sollen.

Die ISO 27701 füllt diese Lücke und schraubt die Datenschutzkontrollen im Wesentlichen auf die ISO 27001.

Warum einen Standard der ISO 27000-Serie verwenden?,

Datenschutzverletzungen sind eines der größten Risiken für die Informationssicherheit von Organisationen. Sensible Daten werden heutzutage in allen Bereichen von Unternehmen verwendet, was ihren Wert für legitime und illegitime Nutzung erhöht.

Jeden Monat treten unzählige Vorfälle auf, egal ob es sich um Cyberkriminelle handelt, die in eine Datenbank hacken, oder um Mitarbeiter, die Informationen verlieren oder missbrauchen. Wohin auch immer die Daten gehen, Der finanzielle und Reputationsschaden, der durch einen Verstoß verursacht wird, kann verheerend sein.,

Aus diesem Grund investieren Organisationen zunehmend stark in ihre Verteidigung und verwenden ISO 27001 als Richtlinie für effektive Sicherheit.

ISO 27001 kann auf Organisationen jeder Größe und in jedem Sektor angewendet werden, und die Breite des Rahmens bedeutet, dass seine Umsetzung immer der Größe des Unternehmens entspricht.

Wie Sie mit dem Standard beginnen können, erfahren Sie durch Lesen von Information Security & ISO 27001: An introduction.,

Dieses kostenlose Grünbuch erklärt:

  • Was ISO 27001 ist, wie ein ISMS funktioniert und wie es sich auf ISO 9001, ISO 27002 und andere Standards bezieht;
  • Die Bedeutung von Risikobewertungen und Risikobehandlungsplänen;
  • Wie der Standard Ihnen hilft, Ihre rechtlichen und regulatorischen Verpflichtungen zu erfüllen; und
  • Ihre Audit – und Zertifizierungsanforderungen.,

A die Version dieses Blogs wurde ursprünglich am 10 Oktober 2019 veröffentlicht.

Empfohlene Lektüre:

  • Was ist der Unterschied zwischen ISO 27000 und 27001

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.