04740 Die Erfolgsgeschichte der ISO/IEC 27001 und der ISO/IEC 27002
|
Die Standards ISO/IEC 27001 und ISO/IEC 27002 sind eine Erfolgsgeschichte. In diesem Beitrag werden die Standards sowie ihre Beziehung zueinander vorgestellt. Dabei werden die Änderungen der Standards in der Version von 2022 erläutert, und die Bedeutung für die Umsetzung eines Informationssicherheitsmanagementsystems in Organisationen wird dargestellt. Arbeitshilfen: von: |
1.1 ISO/IEC 27002 ist ein Meilenstein im Bereich der Informationssicherheit
Meilenstein der Entwicklung
Als international anerkannter Standard für Informationssicherheitsmanagement bildet die ISO/IEC 27002 [1] die Grundlage für die Implementierung und den Betrieb eines effektiven Informationssicherheitsmanagementsystems (ISMS). In diesem Abschnitt werfen wir einen Blick auf die historische Entwicklung der ISO/IEC 27002 und die Meilensteine, die zu ihrer heutigen Bedeutung geführt haben.
Als international anerkannter Standard für Informationssicherheitsmanagement bildet die ISO/IEC 27002 [1] die Grundlage für die Implementierung und den Betrieb eines effektiven Informationssicherheitsmanagementsystems (ISMS). In diesem Abschnitt werfen wir einen Blick auf die historische Entwicklung der ISO/IEC 27002 und die Meilensteine, die zu ihrer heutigen Bedeutung geführt haben.
Die Anfänge der Informationssicherheit reichen weit zurück. Der Bedarf an Informationssicherheit entstand mit der zunehmenden Verbreitung von Computern und der Vernetzung von Systemen. In den 1970er Jahren begannen Organisationen, sich mit der Sicherung ihrer sensiblen Informationen auseinanderzusetzen. Zu dieser Zeit gab es noch keine einheitlichen Standards oder Richtlinien für Informationssicherheit. Man wurde sich der mit Informationstechnik verbundenen Risiken gerade erst bewusst.
Entstehung der ISO/IEC-27000er-Serie
Die Internationale Organisation für Normung (ISO) erkannte die Notwendigkeit, einen internationalen Standard für Informationssicherheit zu entwickeln, und gründete 1987 eine spezielle technische Kommission, die ISO/IEC JTC 1/SC 27. Diese Kommission war für die Entwicklung der ISO/IEC-27000-Serie verantwortlich, zu der auch die ISO/IEC 27002 gehört.
Die Internationale Organisation für Normung (ISO) erkannte die Notwendigkeit, einen internationalen Standard für Informationssicherheit zu entwickeln, und gründete 1987 eine spezielle technische Kommission, die ISO/IEC JTC 1/SC 27. Diese Kommission war für die Entwicklung der ISO/IEC-27000-Serie verantwortlich, zu der auch die ISO/IEC 27002 gehört.
Im Jahr 1995 wurde die erste Version des Standards unter dem Namen ISO/IEC 17799 veröffentlicht. Sie enthielt eine Sammlung von Best-Practices-Beispielen und Empfehlungen für Informationssicherheit, aber keine verbindlichen Anforderungen. Der Fokus lag auf der Bereitstellung eines umfassenden Rahmenwerks für die Implementierung von Informationssicherheitsmaßnahmen.
Start der ISO/IEC 27002
Die Entwicklung zur ISO/IEC 27002 vollzog sich dann im Jahr 2000. Die ISO/IEC 17799 wurde überarbeitet und erhielt den Namen ISO/IEC 27002. Diese Version legte erstmals verbindliche Maßnahmenziele und Maßnahmen fest. Unternehmen konnten nun anhand dieser Anleitungen ihre Informationssicherheitsmaßnahmen bewerten und verbessern. Die ISO/IEC 27002 wurde so zum Referenzdokument für die Implementierung von Informationssicherheitsmaßnahmen.
Die Entwicklung zur ISO/IEC 27002 vollzog sich dann im Jahr 2000. Die ISO/IEC 17799 wurde überarbeitet und erhielt den Namen ISO/IEC 27002. Diese Version legte erstmals verbindliche Maßnahmenziele und Maßnahmen fest. Unternehmen konnten nun anhand dieser Anleitungen ihre Informationssicherheitsmaßnahmen bewerten und verbessern. Die ISO/IEC 27002 wurde so zum Referenzdokument für die Implementierung von Informationssicherheitsmaßnahmen.
Die ISO/IEC 27002 wurde im Lauf der Jahre regelmäßig aktualisiert, um den sich wandelnden Bedrohungen und Technologien Rechnung zu tragen. Die Aktualisierungen umfassten die Berücksichtigung neuer Bedrohungen wie Cyberkriminalität und Social Engineering.
Einführung der ISMS
Eine wichtige Entwicklung war die Veröffentlichung der ISO/IEC 27001:2005, die die Anforderungen an ein Informationssicherheitsmanagementsystem (ISMS) definierte. Die ISO/IEC 27002 wurde somit zu einem wichtigen Referenzdokument für die Umsetzung der Anforderungen der ISO/IEC 27001, zu denen wir später noch kommen werden.
Eine wichtige Entwicklung war die Veröffentlichung der ISO/IEC 27001:2005, die die Anforderungen an ein Informationssicherheitsmanagementsystem (ISMS) definierte. Die ISO/IEC 27002 wurde somit zu einem wichtigen Referenzdokument für die Umsetzung der Anforderungen der ISO/IEC 27001, zu denen wir später noch kommen werden.
Im Jahr 2022 wurde die ISO/IEC 27002 erneut überarbeitet, um sich den aktuellen Bedrohungen und Technologien stellen zu können. Diese Version umfasste unter anderem neue Maßnahmenziele und Maßnahmen für Cloud Computing, systematische Ermittlung neuer Bedrohungen, Konfigurationsmanagement und sicheres Kodieren.
1.2 Die ISO/IEC 27001 als Grundlage für Zertifizierungen
In der Zwischenzeit wurde auch die Norm ISO/IEC 27001, auf die sich die ISO/IEC 27002 bezieht, mehrfach aktualisiert, zuletzt im Jahr 2022, wenige Monate nach der ISO/IEC 27002:2022. Die ISO/IEC 27001 legt die Anforderungen an ein Informationssicherheitsmanagementsystem (ISMS) fest und bildet die Grundlage für die Zertifizierung von Organisationen.
