BS7799

aus Wikipedia, der freien Enzyklopädie

BS7799-1 definiert einen "Code of practice" für Netzwerksicherheits-Management. Die Variante BS7799-1:1999 wurde von der ISO als ISO 17799 übernommen.

Die BS7799-2:2002 (vollständige Bezeichnung: BS7799-2:2002 (Information security management systems - Specification with guidance for use)) stellt die Spezifikation für ein Informations-Sicherheits-Management-System (ISMS) dar. Dieses Management-System fügt sich in eine Reihe anderer, internationaler Management-Systeme (ISO 9001, ISO 14001, ISO 20000) ein. Der Standard wurde im Jahr 2005 als ISO 27001 international genormt.

Inhaltsverzeichnis 1 Was ist das Ziel? 2 Die Entstehungsgeschichte des BS7799 3 Die Struktur des BS7799 4 Das Managementsystem des BS7799 5 Der Anhang A des BS7799 6 Zertifizierung

[Bearbeiten] Was ist das Ziel?

Der BS7799 wurde mit dem Ziel veröffentlicht, Führungskräften und Mitarbeitern eines Unternehmens ein Modell zur Verfügung zu stellen, das die Einführung und den Betrieb eines effektiven ISMS erlaubt. Die Einführung eines ISMS stellt eine wesentliche strategische Entscheidung dar, die durch die Unternehmensstrategie und die Geschäftsziele des Unternehmens beeinflusst wird. Der BS7799 wird zur Prüfung der Organisation verwendet. Dies beinhaltet ebenfalls die Anwendung durch akkreditierte Zertifizierungsunternehmen.

[Bearbeiten] Die Entstehungsgeschichte des BS7799

1992 hat das britische Department of Trade and Industry (DTI) eine Kommission ins Leben gerufen, die die akzeptierten Best Practices im Bereich der Informationssicherheit evaluieren sollte. Die Ergebnisse wurden 1993 als „Code of Practice“ veröffentlicht. Dieser wurde 1995 vom British Standard Institute adaptiert und als BS 7799:1995 veröffentlicht.Diese Version des Standards fand jedoch keine weite Verbreitung, was primär auf seine geringe Flexibilität zurückzuführen ist. 1998 wurde der Standard grundlegend überarbeitet und erneut veröffentlicht. Erst 1999 wurde er in zwei Teile aufgeteilt. Nun existierte eine Spezifikation, gegen die eine Prüfung stattfinden konnte. Im Jahr 2000 adaptierte die International Organization for Standardization (ISO) den Teil 1 zu ISO 17799:2000. Zwei Jahre später gab es erneut signifikante Veränderungen an Teil 2, unter anderem die Einführung des Plan-Do- Check-Act-Konzepts (PDCA), woraus Version BS 7799-2:2002 resultierte.

Die Weiterentwicklung des BS 7799 ist die internationale Norm ISO/IEC 27001, welche seit dem Jahr 2005 eine international gültige Zertifizierungsgrundlage darstellt.

[Bearbeiten] Die Struktur des BS7799

0. Einleitung

0.1. Allgemein

0.2. Prozess Ansatz

0.3. Vereinbarkeit mit anderen Managementsystemen

1. Umfang

1.1 Allgemein

1.2. Anwendung

2. Normative Referenzen

3. Begriffsdefinitionen

4. Anforderungen an ein Informationssicherheitsmanagementsystem (ISMS)

4.1. Allgemeine Anforderungen

4.2. Einführung und Leitung des ISMS

4.3. Dokumentationsanforderungen

5. Verantwortung der Leitung

5.1. Verpflichtungen der Leitung

6. Managementbeurteilung des ISMS

6.1 Allgemein

6.2. Beurteilungsvorgaben

6.3. Beurteilungsergebnisse

6.4. Interne ISMS Audits

7. ISMS Verbesserung

7.1. Kontinuierliche Verbesserung

7.2. Korrigierende Maßnahmen

7.3. Vorbeugende Maßnahmen

[Bearbeiten] Das Managementsystem des BS7799

Die Kapitel 4 bis Kapitel 7 enthalten die organisatorischen Rahmenbedingungen für die Einführung und den Betrieb des Informations Sicherheits Management Systems. Dies sind im Wesentlichen: Interne Revision Überprüfung durch das Management Dokumentenlenkung Risikomanagement

[Bearbeiten] Der Anhang A des BS7799

Der Anhang A des BS7799 stellt eine Liste von Kontrollen bereit, die in sowohl technische, als auch organisatorische Maßnahmen unterteilt sind. Diese Liste der Kontrollen ist in ISO17799 in einem stärkeren Detaillierungsgrad enthalten. Die Kapitel 3 bis 12 des ISO 17799-2000 entsprechen den Kapitel A.3. bis A.12 des BS7799-2:2002.

[Bearbeiten] Zertifizierung

Eine Zertifizierung der Informationssicherheit ist grundsätzlich nur nach BS7799-2:2002 möglich. Eine Zertifizierung nach ISO 17799 ist grundsätzlich nicht im Rahmen einer qualifizierten Zertifizierung möglich. Eine Zertifizierung ist dann qualifiziert, wenn sie durch eine Gesellschaft ausgeführt wird, die unter der Aufsicht einer Akkreditierungsgesellschaft, wie UKAS (UK) oder TGA (Deutschland) steht. Im Falle einer BS7799 Zertifizierung ist ein Zertifikat 3 Jahre gültig. Ein Zwischenaudit (Surveillance Audit) erfolgt im Abstand von 6 Monaten. Eine vollständige Neuzertifizierung erfolgt nach 3 Jahren.