ISO 27001
Die seit Oktober 2005 geltende Normenreihe ISO/IEC 27001 dient dem Schutz von Informationen als Geschäftswerte vor Bedrohungen. Sie schafft unter anderem die Grundlage, um Unternehmen in die Lage zu versetzen, Anforderungen 3. Instanzen wie beispielsweise gesetzliche Regularien wie KonTraG, vertragliche oder sonstige Anforderungen zu entsprechen. Diese Norm ersetzt die bislang bekannte britische BS 7799-2, die seit 02/2006 ersatzlos zurückgezogen wurde.
ISO/IEC 27001 beschreibt konkret ein Management-System für Informationssicherheit (ISMS) und legt die theoretischen Grundlagen für dessen Prozesse. Das ISMS verwendet das Plan-Do-Check-Act-(PDCA) Modell, um IT-Sicherheit als fortlaufenden Prozess darzustellen.
Das Plan-Do-Check-Act-Prozessmodell (PDCA-Lebenszyklusmodell) ist an die Belange eines Managementsystems für Informationssicherheit (ISMS) angepasst worden. Ein Kernpunkt dabei ist die kontinuierliche Dokumentation ist. Um die IT-Sicherheit immer State-of-The-Art zu halten, ist eine laufende Ausführung des Lebenszyklusmodells notwendig. Nur so ist eine kontinuierliche Optimierung gewährleistet. Das PDCA-Modell umfasst folgende vier Zyklen,
- Plan (z.B. Einrichten eines ISMS, Erstellung einer Risikoanalyse, Erurieren, welche Systeme und Applikationen hinsichtlich der Aufrechterhaltung des Geschäftsbetriebes maßgeblich sind und auch, wie der Verfügbarkeitsanspruch ist)
- Do (z. B. Implementieren und Verwalten von Ressourcen. Im Rahmen dessen werden IT-Sicherheitsziele und -maßnahmen der ISO/IEC 17799:2005 herangezogen.
- Check (Laufende Überwachung des ISMS und Erfolgskontrolle)
- Act (Verbesserungen fließen ein, Maßnahmen werden umgesetzt, die vorher als Verbesserungen definiert wurden)
proRZ unterstützt und begleitet Kunden bei der Darstellung von Zielen und Maßnahmen, die für die sichere Realisierung der physikalischen Infrastruktur eines IT-Sicherheitsraumes empfohlen werden.
Seite versenden
Seite drucken