Wann und wo entstand ISO 27001?
Um den Zweck der ISO 27001-Norm zu verstehen, ist es wichtig zu wissen, wie das Rahmenwerk entstanden ist.
Eine kurze Geschichte von ISO 27001
Die ISO/IEC 27001-Norm wird von der Internationalen Organisation für Normung in Zusammenarbeit mit der Internationalen Elektrotechnischen Kommission veröffentlicht.
In den frühen 1990er Jahren bat das britische Ministerium für Handel und Industrie (DTI) das kommerzielle Computer Security Centre (CCSC), eine Reihe von Bewertungskriterien zur Bestimmung der Sicherheit von IT-Produkten zu erstellen. (Dies führte zur Schaffung von ITSEC.)
Das CCSC wurde auch gebeten, einen Kodex für bewährte Verfahren der Informationssicherheit zu erstellen. Das Ergebnis war ein Dokument namens DISC PD003. Die Arbeit an DISC PD003 wurde fortgesetzt und in zwei Hauptfronten aufgeteilt: BS7799-1 und BS7799-2.
Ende der 1990er Jahre wurde das Dokument BS7799-1 in 10 Abschnitte gegliedert, von denen jeder eine Reihe von Kontrollen und Kontrollzielen umreißt. Dieses Dokument bildete die Grundlage für die ISO 27002-Norm.
Gleichzeitig schuf BS7799-2 einen formalen Standard für die Entwicklung eines Informationssicherheits-Managementsystems (ISMS). Dieses Dokument wurde erstmals 1998 vom British Standards Institution (BSI) veröffentlicht und entwickelte sich schließlich zu ISO 27001 weiter.
Im Dezember 2000 übernahm die Internationale Organisation für Normung (ISO) BS7799-1 als Grundlage für die Schaffung ihrer ISO/IEC 17799-Norm.
Die ISO/IEC hielt im April 2001 ein Treffen in Oslo ab, um wichtige Überarbeitungen von ISO 17799 zu besprechen, und die Arbeit an einer neuen Version der Norm wurde von 2001 bis 2004 fortgesetzt. Die neue Version von ISO 17799 wurde im April 2005 in Wien abgestimmt und im Juni 2005 veröffentlicht.
Inzwischen wurde im Oktober 2005 BS7799-2 offiziell als ISO 27001 übernommen.
Seitdem gab es einige Updates: 2007 wurde ISO 17799 in ISO 27002 umbenannt. Und 2017 wurde ISO/IEC 27001:2013 als die neueste Version der Norm veröffentlicht, die geringfügige Änderungen in der Wortwahl und Formatierung enthält.
Empfohlene Lektüre
ISO 27001:2022 Updates vereinfacht: Die wichtigsten Änderungen, die Sie kennen müssen
Read More
Der Ursprung des Informationssicherheits-Managementsystems (ISMS)
Als Unternehmen ins digitale Zeitalter übergingen und die Datensicherheit mehr an Bedeutung gewann, hatten die meisten Firmen spezifische Sicherheitskontrollen implementiert. Diese Kontrollen wurden jedoch meist ad-hoc oder als Versuch, verschiedene Best Practices zu befolgen, eingeführt. Unterschiedliche Abteilungen und Büros hatten unterschiedliche Kontrollen und Prozesse, was größere Initiativen wie die Planung der Geschäftskontinuität erschwerte.
Das Konzept eines Informationssicherheitsmanagementsystems (ISMS) wurde eingeführt, um Unternehmen zu helfen, einen ganzheitlichen, systematischen Ansatz zur Informationssicherheit im gesamten Unternehmen zu verfolgen. Der Aufbau und die Wartung eines ISMS hilft Unternehmen, Risiken bewusst und gezielt zu identifizieren und zu managen.
Der ISO 27001-Standard beschreibt Anforderungen für den Aufbau, die Wartung und die kontinuierliche Verbesserung eines ISMS.
