Definition Was ist ISO 27001?

Autor / Redakteur: Zeroshope / Sarah Böttcher

ISO 27001 ist ein Standard für Informationssicherheitsmanagementsysteme. Es geht dabei um die Einrichtung, den Betrieb und die Optimierung entsprechender Anwendungen. Dies soll dabei zielgerichtet geschehen können.

Firmen zum Thema

Grundlagenwissen zum IT-Business
Grundlagenwissen zum IT-Business
(Bild: © adiruch na chiangmai - Fotolia.com)

Unter ISO 27001 ist ein internationaler Standard zu verstehen, der als DIN-Norm veröffentlicht wurde. ISO ist die Abkürzung für „Internationale Standardisierungs-Organisation“. Teilweise wird er auch ISO/IEC 27001 geschrieben, um zu verdeutlichen, dass es sich um eine Vorgabe für elektronische Systeme handelt. IEC steht für „International Electrotechnical Commission“.

Der volle Name der Norm lautet „Information technology – Security techniques – Information security management systems – Requirements“ („Informationstechnologie – Sicherheitstechnik – Informationssicherheitsmanagementsysteme“). Der Standard beschreibt also, wie ein Informationssicherheitsmanagementsystem eingerichtet, betrieben und optimiert werden soll. Hierbei sollen die Besonderheiten der jeweiligen Organisation berücksichtigt werden, welche die entsprechenden Anwendungen betreibt.

Die Geschichte von ISO 27001

ISO 27001 ging aus dem britischen Standard BS 7799-2:2002 hervor. In internationaler Form wurde die Norm erstmals am 15. Oktober 2005 veröffentlicht. Eine deutsche Übersetzung gibt es seit 2008. Sie trägt die Bezeichnung DIN ISO/IEC 27001 – und die jeweilige Jahreszahl, in der die Version der Norm veröffentlicht wurde. Nach 2008 gab es neue Versionen in den Jahren 2013, 2014, 2015 und 2017. Für die Version zeichnet DIN NIA-01-27 IT-Sicherheitsverfahren (Arbeitsbereich des Deutschen Instituts für Normung) verantwortlich, der international im zuständigen Komitee mitarbeitet.

In diesen Bereichen kommt der Standard zum Einsatz

ISO 27001 ist als Norm für die folgenden Bereiche gedacht:

  • Anforderungen und Ziele in der Informationssicherheit definieren
  • Informationssicherheitsmanagementsysteme identifizieren und neu definieren
  • Sicherheitsrisiken kosteneffizient verwalten
  • neue Informationssicherheitsmanagementprozesse definieren
  • Verwaltungstätigkeiten in diesem Bereich festlegen
  • Prozessrahmen für die Sicherheit in der IT setzen
  • Audits eine Struktur geben und diese vergleichbar machen

Organisationen können ihr Informationssicherheitsmanagementsystem nach ISO 27001 zertifizieren lassen. In Deutschland tut dies beispielsweise der TÜV. Ziel ist es, das Vertrauen von Partnern rund um den Globus zu gewinnen, mit denen Daten geteilt werden.

(ID:47371037)