SNV

ISO/IEC-Leitfaden zur Stärkung des Vertrauens in die Überwachung der Informationssicherheit

Ein technischer Bericht (TRTR
Technical Report
) der ISOISO
International Organization for Standardization
/IECIEC
International Electrotechnical Commission
mit Richtlinien für Wirtschaftsprüfer auf dem Gebiet der technischen Überwachung und Compliance kann die Wirksamkeit des Informationssicherheitssystems eines Unternehmens steigern.


Der technische Bericht ISOISO
International Organization for Standardization
/IECIEC
International Electrotechnical Commission
TRTR
Technical Report
27008:2011 «Information technology – Security techniques – Guidelines for auditors on information security controls» soll das Vertrauen in die Überwachung des Informationssicherheits-Managementsystems eines Unternehmens stärken. Er bezieht sich auf alle Komponenten einer Organisation einschliesslich der Geschäftsprozesse und des Umfelds von Informationssystemen.


«Das wirtschaftliche Umfeld verändert sich unentwegt, was die Überlebensfähigkeit eines Unternehmens in Frage stellen kann. Ein Unternehmen sollte der Entwicklung möglichst einen Schritt voraus sei. Durch die Überprüfung des Systems zur Überwachung der Informationssicherheit lässt sich ein hervorragender Abwehrmechanismus aufbauen», erklärt Edward Humphreys, der Vorsitzende der Arbeitsgruppe, die für die Erarbeitung dieses neuen Dokuments zuständig war.

«ISOISO
International Organization for Standardization
/IECIEC
International Electrotechnical Commission
TRTR
Technical Report
27008:2011 bietet eine Grundlage für rigorose Massnahmen zwecks Überprüfung des Systems zur Überwachung der Informationssicherheit und soll den Unternehmen das nötige Vertrauen darauf vermitteln, dass ein geeignetes Überwachungssystem in Betrieb steht und die eigene Informationssicherheit ihren Zweck erfüllt.»

ISOISO
International Organization for Standardization
/IECIEC
International Electrotechnical Commission
27008 ist ein Leitfaden für die Überprüfung der Einrichtung und des Betriebs eines Überwachungssystems einschliesslich technischer Compliance-Kontrollen. Das Dokument ist in erster Linie für Informationssicherheitsprüfer gedacht, welche die technische Übereinstimmung eines Systems zur Überwachung der Informationssicherheit eines Unternehmens mit ISOISO
International Organization for Standardization
/IECIEC
International Electrotechnical Commission
27002 und möglichen anderen im Unternehmen angewandten einschlägigen Normen kontrollieren sollen. Der technische Bericht ISOISO
International Organization for Standardization
/IECIEC
International Electrotechnical Commission
TRTR
Technical Report
27008 hilft ihnen dabei,

  • das Ausmass möglicher Probleme und Mängel im Zusammenhang mit dem System zur Überwachung der Informationssicherheit festzustellen und zu verstehen,
  • die möglichen Auswirkungen einer ungenügend abgemilderten Bedrohung oder Anfälligkeit der Informationssicherheit auf das Unternehmen festzustellen und zu verstehen,
  • bei der Abmilderung der Informationssicherheitsrisiken Prioritäten zu setzen,
  • zu bestätigen, dass in geeigneter Weise auf festgestellte oder sich abzeichnende Schwächen und Mängel reagiert worden ist, und
  • die Zuweisung von Mitteln im Rahmen des Investitionsprozesses und anderer Entscheidungen der Geschäftsführung zur Verbesserung des Informationssicherheitsmanagements des Unternehmens zu erleichtern.


ISOISO
International Organization for Standardization
/IECIEC
International Electrotechnical Commission
27008 ist somit für die staatliche Verwaltung und Behörden genauso von Nutzen wie für privatwirtschaftliche Unternehmen oder gemeinnützige Institutionen. Es handelt sich dabei um das achte Dokument der Normenreihe (ISOISO
International Organization for Standardization
/IECIEC
International Electrotechnical Commission
27000) für Informationssicherheits-Managementsysteme.

Edward Humphreys fügt hinzu: «Information ist für jedes Geschäftsmodell und jede Organisationsstruktur, für jeden Wirtschaftszweig und jede Geschäftsbeziehung ein Gut von zentraler Bedeutung und die Normenreihe ISOISO
International Organization for Standardization
/IECIEC
International Electrotechnical Commission
27000 dient dem Schutz dieses wirtschaftlich wichtigen Gutes.»

Quelle: ISOISO
International Organization for Standardization
News and Media, 18.11.2011

Das entsprechende Schweizer Spiegelkomitee ist das INBINB
Interdisziplinärer Normenbereich
/NKNK
Normen-Komitee
149 «Informationstechnologie».


Ansprechpartner für weitere Informationen:
Schneider Ruth, E-Mail: ruth.schneidersnv.ch, Tel.: +41 (0)52 224 54 28

Bereits publizierte Normen zu diesem Thema:
ISO/IEC TR 27008:2011 (englisch)
Alle Publikationen zum INB/NK 149 (deutsch und englisch)

PDF-Download nach kostenloser Anmeldung unter www.mysnv.ch.