ISO 17799

aus Wikipedia, der freien Enzyklopädie

Du hast neue Nachrichten auf deiner Diskussionsseite.

Die ISO 17799 ist ein internationaler Standard, der diverse Kontrollmechanismen für die Informationssicherheit beinhaltet. Die vollständige aktuelle Bezeichnung lautet (ISO/IEC 17799:2005 (Information technology -- Code of practice for information security management) und baut inhaltlich auf dem British Standard Nr. 7799, Teil 1 (BS 7799-1:1999) auf. Im Zuge der Überarbeitung der ISO/IEC 17799:2000 wurden jeweils neue Hauptkategorien und Sicherheitsmaßnahmen der ISO/IEC 17799:2005 hinzugefügt. Der Standard wurde im Zuge dieser Überarbeitung auch bzgl. seines Aufbaus geringfügig umstrukturiert, d.h. es wurde u.a. ein neuer Überwachungsbereich geschaffen (Information security incident management - Umgang mit Sicherheitsvorfällen), der auf in einem bis dahin in einem anderen Kapitel sich befindenden Inhalten herum aufgebaut wurde.

Grundlage für die Standardisierung war hierbei eine Sammlung von Erfahrungen, Verfahren und Methoden aus der Praxis, also ähnlich ITIL um einen „Best practice“ Ansatz zu erreichen. Diese Sammlung erschien als Ergebnis der Bemühungen einer ab Januar 1993 tätigen Industriearbeitsgruppe im September 1993 als "DTI Code of Practice". Diese Praxisleitlinie war die Basis zur Erstellung des BS 7799.

Eine Zertifizierung nach ISO 17799 ist grundsätzlich nicht möglich, da es sich bei der Norm um eine Sammlung von Vorschlägen ("soll", im Englischen: "should") und nicht Forderungen ("muss", im Englischen: "shall") handelt. Soll ein Informationssicherheitsmanagementsystem zertifiziert werden, ist dies nur über die Erfüllung der Anforderungen nach ISO 27001 möglich.

[Bearbeiten] Wie ist dieser Standard entstanden?

Im Februar 1995 veröffentlichte das BSi (British Standards Institute) (englisch) mit dem BS 7799-1:1995 den ersten Standard im Bereich der Informationssicherheit, um die Sicherheitsaspekte in Zusammenhang mit dem aufkommenden E-Commerce zu adressieren. Allerdings war die Durchdringung aufgrund einiger aktueller Probleme wie die bevorstehende Y2K Problematik eher gering. Das änderte sich auch nicht mit der Ausgabe des zweiten Standards BS 7799-2:1998 im Februar 1998, der die Anforderungen an ein Sicherheitsmanagementsystem beschreibt. Es änderte sich erst, als das BSi im April 1999 eine komplett überarbeitete Version beider Standards vorlegte (BS 7799-1:1999 und BS 7799-2:1999) und somit erneut das Interesse der ISO (International Organization for Standardization) (englisch) weckte. Die ISO übernahm die BS 7799-1:1999 mit unverändertem Inhalt als Standard an und veröffentlichte diesen im Jahr 2000 unter der Bezeichnung ISO/IEC 17799:2000.

[Bearbeiten] Was sind die Inhalte?

Die ISO/IEC 17799:2005 befasst sich mit den folgenden 11 Überwachungsbereichen:

Information Security Policy – Weisungen und Richtlinien zur Informationssicherheit
Organization of information security – Organisatorische Sicherheitsmaßnahmen und Managementprozess
Asset management – Verantwortung und Klassifizierung von Informationswerten
Human resources security – Personelle Sicherheit
Physical and Environmental Security – Physische Sicherheit und öffentliche Versorgungsdienste
Communications and Operations Management – Netzwerk- und Betriebssicherheit (Daten und Telefonie)
Access Control – Zugriffskontrolle
Information systems acquisition, development and maintenance – Systementwicklung und Wartung
Information security incident management - Umgang mit Sicherheitsvorfällen
Business Continuity Management – Notfallvorsorgeplanung
Compliance – Einhaltung rechtlicher Vorgaben, der Sicherheitsrichtlinien und Überprüfungen durch Audits

Diese 11 Überwachungsbereiche untergliedern sich in 39 Hauptkategorien, sogenannte Kontrollziele. Diese sind mit insgesamt 133 Sicherheitsmaßnahmen untersetzt, deren Anwendung die Erreichung der Kontrollziele unterstützt.