Risiken der Informationssicherheit: ISO/IEC 27005 bringt mehr Schutz

Die Internationale Norm ISOISO
International Organization for Standardization/IECIEC
International Electrotechnical Commission 27005:2011 ist da. Sie gibt den Leitern und Leiterinnen sowie den Mitarbeitenden von Informatik-Abteilungen einen Bezugsrahmen für die Umsetzung eines Risikomanagements, der ihnen den Umgang mit ihrem Information Security Management System (ISMS) erleichtert.

Die Risiken der Informationssicherheit stellen für Unternehmen eine wesentliche Bedrohung dar, da sie zu finanziellen Verlusten oder Schäden, zum Ausfall grundlegender Versorgungsdienste, zu Rufschädigung und zu Vertrauensverlust unter den Kunden führen können. Eines der wichtigsten Elemente zur Verhinderung von Internetbetrug, Identitätsdiebstahl, Websiteschäden, Verlust von Personendaten und vieler anderer Zwischenfälle auf dem Gebiet der Informationssicherheit ist das Risikomanagement. Ohne ein solides Risikomanagementsystem ist ein Unternehmen zahlreichen Cyber-Bedrohungen ausgesetzt.

Die neue Internationale Norm ISOISO
International Organization for Standardization/IECIEC
International Electrotechnical Commission 27005:2011 «Information technology – Security techniques – Information security risk management» wird Unternehmen jeder Art den Umgang mit den Risiken der Informationssicherheit erleichtern. Sie beschreibt den Managementprozess der Informationssicherheit sowie damit verbundene Abläufe und unterstützt die Hauptkonzepte der Norm ISOISO
International Organization for Standardization/IECIEC
International Electrotechnical Commission 27001:2005 «Information technology – Security techniques – Information security management systems – Requirements».

Edward Humphreys, der Convener der für die Ausarbeitung der Norm zuständigen ISOISO
International Organization for Standardization/IEC-Arbeitsgruppe, meint dazu: «Die ISOISO
International Organization for Standardization/IECIEC
International Electrotechnical Commission 27005:2011 ist eine zentrale Norm für all jene, die ihre Risiken wirksam unter Kontrolle bringen und die beliebte Norm ISOISO
International Organization for Standardization/IECIEC
International Electrotechnical Commission 27001 für Informationssicherheits-Managementsysteme einhalten möchten. Im Sinne einer sauberen Unternehmensführung ist das Risikomanagement von höchster Bedeutung und diese Norm befasst sich mit den wesentlichen Fragen des Managements der Informationssicherheitsrisiken im Sinne der übergeordneten Governance-Ziele.»

Diese zweite Ausgabe der Norm enthält eine überarbeitete und aktualisierte Fassung des in der ISOISO
International Organization for Standardization/IECIEC
International Electrotechnical Commission 27005 umrissenen Rahmens und umfasst nun auch den Inhalt der folgenden Dokumente auf dem Gebiet des Risikomanagements:

• ISOISO
  International Organization for Standardization 31000:2009 «Risk management – Principles and guidelines»
• ISOISO
  International Organization for Standardization/IECIEC
  International Electrotechnical Commission 31010:2009 «Risk management – Risk assessment techniques»
• ISOISO
  International Organization for Standardization Guide 73:2009 «Risk management – Vocabulary»

Die Norm soll in ihrer Ausrichtung weitgehend mit der ISOISO
International Organization for Standardization 31000:2009 übereinstimmen, um jenen Unternehmen entgegenzukommen, die ihre Informationssicherheitsrisiken auf ähnliche Weise wie «andere» Risiken managen möchten.

Die ISOISO
International Organization for Standardization/IECIEC
International Electrotechnical Commission 27005:2011 hilft den Anwendern bei der Umsetzung der Norm für Informationssicherheits-Managementsysteme, ISOISO
International Organization for Standardization/IECIEC
International Electrotechnical Commission 27001, die auf einem Risikomanagement-Ansatz beruht. Die Vertrautheit mit den Konzepten, Modellen, Prozessen und Begriffen, die in ISOISO
International Organization for Standardization/IECIEC
International Electrotechnical Commission 27001 und ISOISO
International Organization for Standardization/IECIEC
International Electrotechnical Commission 27002: 2005 «Information technology – Security techniques – Code of practice for information security management» verwendet werden, ist Voraussetzung für ein umfassendes Verständnis dieser Internationalen Norm. Der Prozess des Managements von Informationssicherheitsrisiken umfasst folgende Schritte:

• Kontextanalyse
• Risikoeinschätzung
• Risikobehandlung
• Annehmen der Risiken
• Kommunikation der Risiken sowie
• Überwachung und Überprüfung der Risiken

Die ISOISO
International Organization for Standardization/IECIEC
International Electrotechnical Commission 27005:2011 beschreibt jedoch nur einen allgemein gültigen Ansatz und gibt keine spezifische Methode des Managements von Informationssicherheitsrisiken vor. Jedes Unternehmen muss zum Beispiel je nach Umfang des Informationssicherheits-Managementsystems, dem Kontext des Risikomanagements oder dem betreffenden Wirtschaftszweig seinen eigenen spezifischen Ansatz definieren.

Die ISOISO
International Organization for Standardization/IECIEC
International Electrotechnical Commission 27005:2011 «Information technology – Security techniques – Information security risk management» wurde durch den Unterausschuss SCSC
Subcommittee 27 «IT Security techniques» der gemeinsamen technische Kommission ISOISO
International Organization for Standardization/IEC JTC 1 «Information technology» ausgearbeitet.

Quelle: ISOISO
International Organization for Standardization News and Media, 2. August 2011

Seminar zum Thema: Schutz der intellektuellen Unternehmenswerte

Das entsprechende Schweizer Spiegelkomitee ist das INBINB
Interdisziplinärer Normenbereich/NKNK
Normen-Komitee 149 «Informationstechnologie».

Ansprechpartnerin für weitere Informationen:
Ruth Schneider, E-Mail: ruth.schneider@snv.ch, Tel.: +41 (0)52 224 54 28

Bereits publizierte Normen zu diesem Thema:
ISO/IEC 27005:2011 (englisch)
Alle Publikationen zum Thema (v. a. englisch)

PDF-Download nach kostenloser Anmeldung unter www.mysnv.ch.