2006-04-03 11:44:36

Neue ISO-Familie für Informationssicherheit

Reduzierte Normenvielfalt

Der neue, globale Standard für Informationssicherheit ISO 27001 kommt nach Österreich und vereint die Security-Normen ISO 17799 und BS 7799 unter einem Dach.

Fritz Katz

Druckversion

Bisher war die Normenvielfalt rund um Informationssicherheit so komplex wie das Thema selbst: Während nach BS 7799 zertifiziert wurde, diente ISO 17799 als Implementierungsleitfaden und ISO TR 13335 als Regelwerk für technische Sicherheit. Mit der Veröffentlichung der neuen Normenreihe unter der Dachbezeichnung ISO 27000 bringt die International Organization for Standardization nun übersichtliche Einheit in den Normendschungel.

„Damit schafft die ISO ein umfassendes Instrumentarium, mit dem alle Aspekte rund um Informationssicherheit - sowohl in der Breite als auch in die Tiefe - behandelt werden“, resümiert CIS-Chef Scheiber. Die einfachere Handhabung werde zu einer stärkeren Verbreitung in der Wirtschaft beitragen und auch vermehrt KMU ansprechen.

Startschuss mit ISO 27001

Quasi als Startschuss wurde im Oktober 2005 der bekannte Zertifizierungsstandard für Informationssicherheit, BS 7799, durch die internationale Version ISO 27001 abgelöst, die nun seit Januar auch in Österreich zertifizierbar ist. „Damit erhalten die Unternehmen jetzt ISO-Zertifikate, die in Marketing und Öffentlichkeitsarbeit wirksamer sind, als ein British Standard“, betont CIS-Geschäftsführer Erich Scheiber.

„Das ISO-Gremium selbst bewertet die Veröffentlichung der neuen Normenfamilie als großes Ereignis in der Welt der Informationssicherheit“, wie Ted Humphreys, Leiter der ISO-Arbeitsgruppe und Mitbegründer der Norm in einer weltweiten Presseaussendung deklariert. Denn langfristig sollen alle Security-relevanten Aspekte in dieser Normenreihe mit fortlaufender Nummer abgebildet werden und so mehr Klarheit für die Anwender bringen.

Security & Qualität

Zudem passen die Strukturen der Security-ISO-Normen bestens zu den Qualitäts- und Umweltstandards aus den Reihen ISO 9000 und ISO 14000, so dass einer Zusammenfassung in ein integriertes Management-System nichts mehr im Wege steht. Sogar die gemeinsame Dokumentation und Zertifizierung sind möglich, was deutliche Kostenersparnis bringt.

Raum für neue Themen

Im Frühling 2006 soll der ganze Bereich Metrics & Measurement in der Norm ISO 27004 veröffentlicht werden. Dieser Standard wird detaillierte Kennzahlenmodelle für das Messbar-machen von Informationssicherheit definieren. Für das Jahr 2007 ist schließlich die Umwandlung der vor kurzem aktualisierten ISO 17799:2005 in die ISO 27002 geplant.

Bis dahin wird man mit zwei verschiedenen Normenbezeichnungen zurechtkommen müssen, denn ISO 27001 und ISO 17799 gehen bei Implementierung und Zertifizierung nach wie vor Hand in Hand.

Weitere Themenbereiche sollen in Zukunft ergänzt werden. Unter ISO 27003 werden technische Implementierungsrichtlinien aus der TR 13335 zusammengefasst. Und unter dem Namen ISO 27005 sollen Details zu IT-Risikomanagement beschrieben werden. Derzeit gibt es weltweit 2.068 zertifizierte Unternehmen, in Österreich sind es acht*. Tendenz: exponentiell steigend.

Die nationale Prüfstelle CIS - Certification & Information Security Services GmbH ist bereits auf den neuen ISO-Standard akkreditiert und hat auch schon die dazugehörigen Information-Security-Manager-Ausbildungen auf die neue ISO-27000-Reihe ausgerichtet.

*) Da Siemens Business Services zwei BS-7799-Zertifikate hat, werden in Österreich acht Unternehmen mit neun Zertifikaten gezählt.