ISO/IEC 27001
Zur Navigation springen
Zur Suche springen
- Allgemeine Zielsetzung
- ISO/IEC 27001 zielt darauf ab, Organisationen ein Framework zu bieten, um die Sicherheit von Informationen durch ein systematisches Risikomanagement zu gewährleisten.
- Anwendbarkeit
- Die Norm ist für jede Art von Organisation geeignet, unabhängig von Größe oder Branche, die ihre Informationssicherheit verbessern möchte.
- Einrichtung eines ISMS
- Die Norm verlangt die Einrichtung, Implementierung, Überwachung, Überprüfung, Aufrechterhaltung und Verbesserung eines dokumentierten Informationssicherheits-Managementsystems.
- Risikobewertung
- Organisationen müssen Risikobewertungen durchführen, um die Bedrohungen für ihre Informationen zu identifizieren und angemessene Kontrollen zur Risikominderung festzulegen.
- Risikobehandlung
- ISO/IEC 27001 erfordert die Entwicklung und Implementierung eines Risikobehandlungsplans, der Maßnahmen zur Bewältigung identifizierter Risiken enthält.
- Sicherheitskontrollen
- Die Norm enthält einen Anhang (Anhang A) mit einer Liste von Sicherheitskontrollen, die als Basis für die Sicherheitsmaßnahmen dienen können, die in Abhängigkeit von den Ergebnissen der Risikobewertung ausgewählt werden.
- Interne Audits
- Organisationen müssen regelmäßige interne Audits des ISMS durchführen, um dessen Effektivität zu bewerten.
- Managementbewertung
- Das Top-Management muss das ISMS regelmäßig bewerten, um sicherzustellen, dass es weiterhin angemessen, adäquat und effektiv ist.
- Kontinuierliche Verbesserung
- ISO/IEC 27001 betont die Bedeutung der kontinuierlichen Verbesserung des ISMS basierend auf objektiver Bewertung durch Audits und Management Reviews.
- Zertifizierung
- Organisationen können eine formelle Zertifizierung durch eine akkreditierte Zertifizierungsstelle anstreben, um unabhängig zu bestätigen, dass ihr ISMS den Anforderungen der ISO/IEC 27001 entspricht.