Zum Inhalt springen

ISO/IEC 27002

aus Wikipedia, der freien Enzyklopädie
Dies ist eine alte Version dieser Seite, zuletzt bearbeitet am 4. Mai 2005 um 12:59 Uhr durch 80.86.179.22 (Diskussion) (Was ist das Ziel?). Sie kann sich erheblich von der aktuellen Version unterscheiden.

Was ist die ISO 17799?

vollständige Bezeichnung:
ISO/IEC 17799:2000 (Information technology -- Code of practice for information security management); entspricht inhaltlich dem British Standard Nr. 7799, Teil 1 (BS 7799-1:1999)


Was ist das Ziel?

Die ISO 17799 definiert sich als „umfassende Auswahl an Kontrollmechanismen, die auf Methodik und Verfahren basieren, die sich in der IT-Sicherheit bewährt haben“. Grundlage für die Standardisierung war hierbei um eine Sammlung von Erfahrungen, Verfahren und Methoden aus der Praxis, also ähnlich ITIL um einen „Best practice“ Ansatz. Analog zu ITIL (nach der Norm BS15000) bietet ISO 17799 die Möglichkeit der Zertifizierung für Unternehmen.

Wie ist dieser Standard entstanden?

Im Jahr 1995 veröffentlichte das BSi (British Standards Institute) mit dem BS 7799 den ersten Standard im Bereich der Informationssicherheit um die Sicherheitsaspekte in Zusammenhang mit dem aufkommenden E-Commerce zu adressieren. Allerdings war die Durchdringung aufgrund einiger aktueller Probleme wie die bevorstehende Y2K Problematik eher gering. Das änderte sich, als das BSi im Jahr 1999 eine komplett überarbeitete Version vorlegte und somit erneut das Interesse der ISO (International Standards Organisation) weckte. Die ISO nahm den ersten Teil (der erste Teil umfasst die Kriterien als Basis des Standards) an und veröffentlichte diesen im Jahr 2000 unter dem Namen ISO 17799. Zeitgleich wurden auch formelle Anerkennungs- und Zertifizierungsverfahren für die Einhaltung des Standards definiert, so das von hier an eine Zertifizierung nach ISO 17799 möglich war.


Was sind die Inhalte?

ISO 17799 befasst sich mit den folgenden Überwachungsbereichen:

Richtlinien
Definieren die angestrebte Qualität der Sicherheit im Unternehmen.

Aufgaben
Definiert Rollen und Zuständigkeiten im Unternehmen

Klassifizierung/Kontrolle unternehmenskritischer Daten
Liefert eine Liste unternehmenskritischer Daten und der Maßnahmen zu ihrem Schutz

Mitarbeitersicherheit
Definiert Erwartungen an Mitarbeiter bezüglich Sicherheit und Vertraulichkeit sowie die Rollen der Mitarbeiter

Physikalische Sicherheit
Gerätesicherheit, Zugangsschutz und Kontrollmechanismen

Kommunikations- und Operationsmanagement
Befasst sich mit dem Schutz und der Integrität von Informationen und Unternehmensdaten und der Verhinderung von Verlust und Missbrauch

Zugriffskontrolle
Kontroll- und Überwachungsmaßnahmen für den Zugriff auf Netzwerke und Anwendungen sowie der Schutz vor Eindringlingen

Systementwicklung- und Wartung

Kontinuitätsmanagement
Befasst sich mit Maßnahmen bei schwerwiegenden Ausfällen und der Wiederherstellung nach Notfällen

Richtlinieneinhaltung
Befasst sich mit der Prüfung von Sicherheitsrichtlinien und deren Umsetzung sowie mit der Definition von Audit Prozessen.



Welche Abgrenzung gibt es zu anderen Standards und Empfehlungen?

  • BSI IT-Grundschutzhandbuch
  • BS 7799-1
  • BS 7799-2
  • ITIL
  • BS 15000
  • CobiT
  • ISO TR 13335

(to be done)


siehe auch

Abgerufen von „https://de.wikipedia.org/w/index.php?title=ISO/IEC_27002&oldid=5722951