ISO/IEC 27001 - Informationssicherheitsmanagement
 

Kurz gefasst

Die Norm ISO 27001 ruft zu einem prozessorientierten Ansatz für die Einrichtung, Umsetzung, Durchführung, Überwachung, Überprüfung, Instandhaltung und Verbesserung eines organisationseigenen  Informationssicherheits-Managementsystems auf.

Der Anhang A der Norm ist die ISO/IEC 27002.

Die Organisation muss zahlreiche Geschäftsprozesse identifizieren und managen, um effizient arbeiten zu können. Jede Aktivität, die Ressourcen benutzt und verwaltet, um Eingaben in Ergebnisse zu verwandeln, kann als Prozess betrachtet werden.

Die Anwendung eines Systems von Prozessen in einer Organisation, verbunden mit der Identifizierung und dem Zusammenwirken dieser Prozesse und ihrer Verwaltung, kann als „prozessorientierter Ansatz“ verstanden werden.

Der prozessorientierte Ansatz für das Management von Informationssicherheit betont die Wichtigkeit der folgenden Punkte für seine Anwender:

  1. Verständnis der Organisation für die Anforderungen an Informationssicherheit und Notwendigkeit zur Festlegung einer Leitlinie und Zielen für Informationssicherheit;

  2. Planung und Umsetzung von Maßnahmen, um die Informationssicherheitsrisiken einer Organisation in Zusammenhang mit den allgemeinen Geschäftsrisiken der Organisation zu verwalten;

  3. Überwachung und Überprüfung der Leistung und Wirksamkeit des ISMS;

  4. ständige Verbesserung auf Basis von objektiven Messungen.