Digitale Geschäfts- und Dokumenten-Prozesse

Die ISO IEC 27001 definiert hierfür international gültige und vergleichbare Anforderungen (in Form von Kontrollzielen auch "Controls" genannt), die allen organisationsinternen Strukturen und Prozessen der Informationssicherheit (hauptsächlich in Gestalt der Verfügbarkeit, Integrität und Vertraulichkeit von Informationswerten) ausreichend Rechnung tragen und eine Zertifizierung der Organisation auf Basis dieser Anforderungen ermöglichen. Ausgehend von einem Risiko-Assessment, das die primären Informationswerte (Geschäftsprozesse und deren Informationen) sowie serviceorientierte Informationswerte (wie z. B. Hardware, Software, Netzwerk, Personal, Standort oder Organisation) betrachtet, werden behandelnde Maßnahmen geplant, durchgeführt, überwacht und verbessert.

Als primäre operative Ergänzung - im Sinne eines Best Practice-Ansatzes - dient der Organisation die ISO IEC 27002 (diese hieß vor dem Jahr 2007 ISO 17799), die mit ihrer Struktur kompatibel zur Norm ISO IEC 27001 ist. Ihr unterstützender Charakter wird insbesondere dadurch sichtbar, dass es in ihrem Inhalt ausschließlich "SOLLTE-" und nicht um "MUSS"-Formulierungen aufgeführt sind.

Neben einer Reihe von ISO IEC 27XXX Ergänzungen sind an dieser Stelle aufgrund der steigenden Relevanz und Verbreitung von Cloud-Computing sowie der „Cloudifizierung“ von Prozessen und IT-Infrastrukturen die Ergänzungen ISO IEC 27017 und ISO IEC 27018 zusätzlich zu erwähnen:

Die ISO/IEC 27017 ("Code of practice for information security controls based on ISO/IEC 27002 for cloud services") basiert auf dem gleichen Framework wie die ISO/IEC 27002 und ergänzt diese um sieben neue Controls, die die spezifischen Anforderungen von Cloud-Services in Bezug auf Informationssicherheit abdecken. Die ISO/IEC 27018 ("Code of practice for protection of personally identifiable information (PII) in public clouds acting as PII processors") wiederum, ergänzt die ISO/IEC 27017 mit weiteren neuen Controls, um auch den Anforderungen (unter anderem der DSGVO) in Bezug auf den Schutz personenbezogener Daten in (Public) Cloud Services bei einer Zertifizierung von Cloudsystemen gerecht zu werden.

In welcher Weise kann die ISO/IEC 27XXX für Sie relevant sein?

Ob Industrieunternehmen, öffentliche Einrichtungen, KMUs oder sonstige Organisationen, im oder über das Netzwerk des VOI finden Sie einen passenden Partner - Sprechen Sie uns an!