ISO/IEC 17799 ist eine internationale Norm für das Informationssicherheitsmanagement. Sie bietet einen umfassenden Satz von Sicherheitskontrollen und -richtlinien, die Organisationen verwenden können, um die Sicherheit ihrer Informationssysteme zu gewährleisten.
Die Norm ISO/IEC 17799 wurde erstmals im Jahr 2000 von der Internationalen Organisation für Normung (ISO) und der Internationalen Elektrotechnischen Kommission (IEC) veröffentlicht. Seitdem wurde sie mehrmals aktualisiert, um Veränderungen in der Sicherheitslandschaft zu berücksichtigen und um mit den neuesten Sicherheitstechnologien Schritt zu halten.
ISO/IEC 17799 deckt ein breites Spektrum an Sicherheitsthemen ab, darunter Risikomanagement, Zugangskontrolle, Authentifizierung, Systemsicherheit, physische Sicherheit und mehr. Sie bietet auch Anleitungen zur Umsetzung und Überwachung dieser Sicherheitsmaßnahmen.
ISO/IEC 17799 bietet Organisationen einen umfassenden Satz von Sicherheitskontrollen und Richtlinien, die zum Schutz ihrer Informationssysteme verwendet werden können. Die Konformität mit der Norm kann Organisationen auch dabei helfen, ihr Engagement für die Informationssicherheit zu demonstrieren und verschiedene gesetzliche Anforderungen zu erfüllen.
Die Umsetzung von ISO/IEC 17799 erfordert, dass Unternehmen eine gründliche Bewertung ihrer aktuellen Sicherheitslage vornehmen und Maßnahmen ergreifen, um etwaige Lücken zu schließen. Organisationen sollten auch eine Sicherheitsrichtlinie entwickeln und Prozesse zur Überwachung und Reaktion auf Sicherheitsvorfälle einrichten.
Organisationen können ihr Engagement für die Informationssicherheit durch den Erhalt einer ISO/IEC 17799-Zertifizierung nachweisen. Mit dieser Zertifizierung müssen Organisationen nachweisen, dass ihre Sicherheitsmaßnahmen den Anforderungen der Norm entsprechen.
ISO/IEC 17799 ist für jede Organisation geeignet, die die Vertraulichkeit, Integrität und Verfügbarkeit ihrer Informationssysteme schützen muss. Dazu gehören Regierungsbehörden, Finanzinstitute, Organisationen im Gesundheitswesen und andere Organisationen, die sensible Daten verarbeiten.
ISO/IEC 17799 ist ein wichtiger internationaler Standard für das Informationssicherheitsmanagement. Sie bietet Organisationen einen umfassenden Satz von Sicherheitskontrollen und Richtlinien, die zum Schutz ihrer Informationssysteme verwendet werden können. Organisationen können ihr Engagement für die Informationssicherheit auch durch eine ISO/IEC 17799-Zertifizierung nachweisen.
Es gibt insgesamt 17 Bereiche innerhalb der ISO 17799. Diese Bereiche sind:
1) Sicherheitspolitik
2) Organisation der Informationssicherheit
3) Verwaltung von Vermögenswerten
4) Sicherheit der Humanressourcen
5) Physikalische und Umweltsicherheit
6) Kommunikations- und Betriebsmanagement
7) Zugangskontrolle
8) Erwerb, Entwicklung und Wartung von Informationssystemen
9) Management von Vorfällen im Bereich der Informationssicherheit
10) Management der Geschäftskontinuität
11) Einhaltung von Vorschriften
12) Sicherheit der Netz- und Systeminfrastruktur
13) Kryptographie
14) Sicherheit mobiler Geräte
15) Sicherheit des Internets der Dinge
16) Cloud-Sicherheit
17) Anwendungs- und Informationssicherheit
Es gibt vierzehn Abschnitte der ISO 17799:
1) Einführung
2) Hintergrund
3) Sicherheitspolitik
4) Organisatorische Sicherheit
5) Klassifizierung und Kontrolle von Vermögenswerten
6) Personelle Sicherheit
7) Physische und umgebungsbezogene Sicherheit
8) Kommunikations- und Betriebsmanagement
9) Zugangskontrolle
10) Erwerb, Entwicklung und Wartung von Informationssystemen
11) Management von Informationssicherheitsvorfällen
12) Business Continuity Management
13) Compliance
14) Sicherheitsaspekte von Informationsverarbeitungseinrichtungen
Der alte Name von ISO 27001 ist ISO/IEC 17799.
ISO 27001 ist eine internationale Norm, die beschreibt, wie ein Informationssicherheits-Managementsystem (ISMS) zu implementieren ist. ISO 27701 ist eine Spezifikation, die auf ISO 27001 aufbaut und zusätzliche Leitlinien für die Verwaltung von Datenschutzinformationen im Rahmen eines ISMS enthält.
Die fünf grundlegenden Sicherheitsprinzipien sind:
1. Vertraulichkeit: Sicherstellung, dass Informationen nur denjenigen zugänglich sind, die zum Zugriff berechtigt sind.
2. Integrität: Sicherstellung, dass die Informationen richtig und vollständig sind und nicht verfälscht werden können.
3. Verfügbarkeit: Sicherstellung, dass autorisierte Benutzer Zugang zu den Informationen haben, wenn sie sie benötigen.
4. Authentizität: Sicherstellung, dass die Informationen aus einer vertrauenswürdigen Quelle stammen.
5. Unleugbarkeit: Sicherstellung, dass die Informationen von der Person, die sie erstellt hat, nicht geleugnet werden können.