Aktualisierter ISO/IEC 27000 beschreibt ISMS-Verantwortlichen
Mehr Verständigung
Im Februar 2018 veröffentlichten die International Organization for Standardization (ISO) und die International Electrotechnical Commission (IEC) eine aktualisierte Fassung des ISO/IEC 27000. Sie enthält den Überblick und das Vokabular zur ISO-27000-Standardreihe.
Die aktualisierte Version der ISO/IEC 27000 ist die fünfte Edition seit der erstmaligen Veröffentlichung 2009. Die neue Fassung von Februar 2018 kann frei heruntergeladen werden (sie ist über ix.de/ix1807098 zu finden). Sie steht derzeit noch nicht auf Deutsch, sondern nur auf Englisch und Französisch bereit.
Um eine Einführung in die Grundlagen von Informationssicherheitsmanagementsystemen (ISMS) zu erhalten, bietet sich die Beschäftigung mit Kapitel 4 der ISO/IEC 27000 an. Es beantwortet die Frage, was ein ISMS ist. Darüber hinaus werden im ISO/IEC 27000 die in der ISO-27000-Standardreihe verwendeten Begriffe und Definitionen eindeutig festgelegt.
Kapitel 5 legt ausführlich dar, wie das Zusammenspiel im Verbund von ISMS-Standards der ISO-27000-Standardreihe funktionieren soll. Die hier aufgeführten Standards bieten Anleitungen für verschiedene Aspekte einer ISMS-Implementierung. Über den generischen ISMS-Ansatz hinaus werden auch Leitlinien für sektorspezifische ISMS-Umsetzungen formuliert. ISO/IEC 270011 geht beispielsweise auf die Besonderheiten von Telekommunikationsunternehmen ein, während ISO/IEC 270017 Cloud-Dienste behandelt. ISO/IEC 270018 adressiert den Datenschutz und ISO/IEC 270019 den Energiesektor. Die bekanntesten Vertreter der Reihe sind aber ISO/IEC 27001 und ISO/IEC 27002, nach denen ein ISMS international aufgebaut, geprüft und zertifiziert werden kann.
Für viele Organisationen gewinnt die Zertifizierung nach ISO/IEC 27001 zunehmend an Bedeutung, da auch im Hinblick auf die aus dem IT-Sicherheitsgesetz entstandenen Pflichten der Betreiber kritischer Infrastrukturen (KRITIS) die Zertifizierung nach ISO/IEC 27001 Bestandteil der Prüfgrundlage gemäß § 8a BSI-Gesetz sein kann. Maßgeblich für eine erfolgreiche Zertifizierung ist das Verständnis der ISO/IEC 27000. Aber auch immer mehr Kunden fordern von ihren Dienstleistern, dass sie den Standard ISO/IEC 27001 einhalten und sich danach zertifizieren lassen, teilweise sogar als verbindliche Voraussetzung in Ausschreibungen. Selbst das BSI hat den IT-Grundschutz seit vielen Jahren nach ISO 27001 ausgerichtet und entsprechend vereinheitlicht.
ISO/IEC 27000 unterteilt sich in drei Teile. In Kapitel 3, „Terms and Definitions“, sind die für die Standardreihe einheitlichen Begriffe aufgeführt. In Kapitel 4, „Information Security Management Systems“, beschreiben die Autoren die Grundlagen eines ISMS sowie die Bedeutung und Vorteile, die es für eine Organisation haben kann. Das abschließende Kapitel 5, „ISMS Family of Standards“, gibt einen Überblick über die verschiedenen Standards und gruppiert sie je nach Verwendungszweck.
Kapitel 3 enthält ein Glossar der in der Standardreihe verwendeten Begriffe. Die dort festgelegten Definitionen gelten somit für alle ISO-27000er-Standards. Für viele der Begriffe hat der Standardisierungsausschuss mit jeder neuen Edition zusätzlich erklärende Hinweise und Verweise erstellt. Letztere beziehen sich dabei auf andere ISO-Standards sowohl innerhalb als auch außerhalb der 27000er-Reihe, um einen einheitlichen Sprachgebrauch über alle ISO-Standards hinweg sicherzustellen.
Eine gemeinsame Sprache festlegen
Eine einheitliche Definition der Begriffe ist gerade im Hinblick auf die teils technische Komplexität des Vokabulars im Rahmen der Informationssicherheit notwendig. Je nach Kontext können Begriffe wie „Risk“, „Information Security Event“ oder „Information Security Incident“ unterschiedliche Bedeutungen haben.
So gibt es allein im Bankenwesen viele Interpretationen eines „Information Security Event“: Neben der Definition nach ISO/IEC 27000 müssen Kreditinstitute auch die Bedeutungen entsprechend den Meldepflichten beispielsweise der europäischen Zentralbank (EZB), der Finanzaufsichtsbehörde BaFin und des Bundesamts für Sicherheit in der Informationstechnik (BSI) beachten.