ISO 27000er-Reihe: Überblick über die Informationssicherheitsstandards

Ob Unternehmen, Behörden oder Organisationen – der Schutz sensibler Daten ist heute unerlässlich. Doch es gibt inzwischen so viele Standards und Normen. Die ISO/IEC 27000er-Reihe bietet einen umfassenden Rahmen für das Management von Informationssicherheit, Risikobewertung und Datenschutz. Von grundlegenden Sicherheitsrichtlinien bis hin zu spezialisierten Normen für Cloud-Sicherheit, digitale Beweissicherung oder Datenschutz in Smart Cities – die Normenreihe deckt eine Vielzahl an Themen ab.

Dieser Artikel zeigt alle Normen der ISO 27000er-Reihe, jede wird kurz beschrieben, sodass Sie schnell einen Überblick über deren Inhalte erhalten.

ISO/IEC 27000Name des Standards:

• Information security, cybersecurity and privacy protection - Information security management systems - Requirements
• Informationssicherheit, Cybersicherheit und Datenschutz - Informationssicherheitsmanagementsysteme - Anforderungen

Inhalt und Anwendungsbereich
ISO/IEC 27001 legt die Anforderungen für die Errichtung, Einführung, Aufrechterhaltung und kontinuierliche Verbesserung eines Informationssicherheits-Managementsystems (ISMS) fest. Das Dokument ist sehr generisch gehalten, um auf alle Organisationen unabhängig von Typ, Grösse und Geschäftsfeld anwendbar zu sein. Daher haben diese Anforderungen einen niedrigen technischen Detaillierungsgrad, wobei die Anforderungen an die Prozesse wohl definiert sind.

Methodik
Ein ISMS erlaubt es, ermittelte Risiken durch geeignete, in die Organisationsprozesse eingebettete Kontrollmechanismen zu reduzieren, zu verlagern oder anders zu kontrollieren. Hierbei sind die Geschäftsziele und die resultierenden Sicherheitsanforderungen als Input sowie „gemanagte" Informationssicherheit als Output anzusehen. Die transformierenden Systemprozesse sind das Aufbauen, das Umsetzen und Betreiben, das Überprüfen sowie das Aufrechterhalten und Verbessern. Das Dokument als Managementstandard richtet sich vorrangig an Geschäftsleitung und IT-Sicherheitsbeauftragte, nicht an Techniker oder Administratoren.

Die Kapitel sind wie folgt gegliedert:

• Kontext der Organisation
  • Verstehen der Organisation und ihres Kontextes
  • Verstehen der Erfordernisse und Erwartungen interessierter Parteien
  • Festlegen des Anwendungsbereichs des Informationssicherheitsmanagementsystems
  • Informationssicherheitsmanagementsystem
• Führung
  • Führung und Verpflichtung
  • Politik
  • Rollen, Verantwortlichkeiten und Befugnisse in der Organisation
• Planung
  • Maßnahmen zum Umgang mit Risiken und Chancen
  • Informationssicherheitsziele und Planung zu deren Erreichung
  • Planung von Änderungen
• Unterstützung
  • Ressourcen
  • Kompetenz
  • Bewusstsein
  • Kommunikation
  • Dokumentierte Information
• Betrieb
  • Betriebliche Planung und Steuerung
  • Informationssicherheitsrisikobeurteilung
  • Informationssicherheitsrisikobehandlung
• Bewertung der Leistung
  • Überwachung, Messung, Analyse und Bewertung
  • Internes Audit
  • Managementbewertung
  • Verbesserung
• Fortlaufende Verbesserung
  • Nichtkonformität und Korrekturmaßnahmen
  • Zertifizierung

Der Grad der Umsetzung des Informationssicherheits-Managementsystems kann von internen oder externen Parteien (Auditoren) kontrolliert werden. In Deutschland ist es möglich, sich mit dem vom BSI herausgegebenen Zertifikat „ISO-27001-Zertifizierung auf Basis von IT-Grundschutz“ zertifizieren zu lassen.

Die Zertifizierung erfolgt durch akkreditierte Unternehmen, sogenannte Zertifizierungsstellen. Eine aktuelle Liste der akkreditierten Stellen, auch für andere Zertifizierungen, kann bei der DAkkS – Deutsche Akkreditierungsstelle GmbH (http://www.dakks.de), der Schweizerischen Akkreditierungsstelle SAS (https://www.sas.admin.ch) sowie der Akkreditierung Austria (https://akkreditierung-austria.gv.at/) abgerufen werden.

Bisherige Ausgaben

• ISO/IEC 27001:2005
• ISO/IEC 27001:2013
• ISO/IEC 27001:2022
• Deutschland: DIN EN ISO/IEC 27001:2024-01
• Österreich: ÖVE/ÖNORM EN ISO/IEC 27001:2023
• Schweiz: SN EN ISO/IEC 27001:2023

ISO/IEC 27002

• Information security, cybersecurity and privacy protection – Information security controls
• Informationssicherheit, Cybersicherheit und Schutz der Privatsphäre – Informationssicherheitsmaßnahmen

Name des Standards

• Information security management systems - Guidance

Inhalt und Anwendungsbereich
ISO/IEC 27003:2017 beleuchtet erfolgsrelevante Aspekte beim Design und der Implementierung eines Informationssicherheits-Managementsystems (ISMS). Der Aufbau entspricht demjenigen der ISO/IEC 27001:2013. Auf 41 Seiten werden zusätzliche Gedanken und Hilfestellungen zu den Schlüsselkomponenten Policy, Rollen und Verantwortlichkeiten, Risiko-Management, Awareness, dem PDCA-Zyklus sowie Verbesserungen und notwendiger Dokumentation gezeigt. Jeder Norm-Punkt der Kapitel 4-10 beschreibt die notwendigen Aktivitäten, Erklärungen, Detail-Informationen und Beispiele sowie weiterführende Quellen.

Bisherige Ausgaben

• ISO/IEC 27003:2010
• ISO/IEC 27003:2017

Name des Standards

• Monitoring, measurement, analysis and evaluation

Inhalt und Anwendungsbereich
Die Informationssicherheit zu messen, ist eine grosse Herausforderung. Welche Punkte gilt es zu messen? Wie kann sichergestellt werden, dass sich das ISMS wirklich weiterentwickelt und verbessert? Die ISO 27004:2016 bietet eine Anleitung zur Beantwortung folgender Fragen:

• die Überwachung und Messung der Leistung der Informationssicherheit;
• die Überwachung und Messung der Wirksamkeit des ISMS einschließlich seiner Prozesse und Kontrollen;
• die Analyse und Bewertung der Ergebnisse der Überwachung und Messung.

Die Norm ist in die Kapitel Gründe, Merkmale, Arten von Massnahmen und Abläufe unterteilt. Der Anhang B hilft bei der Suche nach sinnvollen Messungen. Damit stellt die Norm das notwendige Rüstzeug für das Messen und Auswerten von Sicherheitsmetriken dar.

Bisherige Ausgaben

• ISO/IEC 27004:2009
• ISO/IEC 27004:2016

Name des Standards
Informationssicherheit, Cybersicherheit und Datenschutz - Leitfaden zur Handhabung von Informationssicherheitsrisiken

Inhalt und Anwendungsbereich
Die ISO/IEC 27005 ist aus dem Teil 2 der ISO/IEC 13335-2 hervorgegangen. Der Standard enthält Leitlinien für ein systematisches und prozessorientiertes Risikomanagement, das auch die Einhaltung der Anforderungen nach ISO/IEC 27001 unterstützt.

Methodik
Ein Informationssicherheitsrisiko wird definiert als Potenzial, dass eine Bedrohung eine Schwachstelle eines Unternehmenswertes ausnutzt und dadurch zu einem Schaden für eine Organisation führt. Zur systematischen Identifikation, Bewertung und Behandlung von Informationssicherheitsrisiken wird ein Prozess beschrieben, der als Ergebnis eine priorisierte Liste von Risiken hat, die anschliessend kontinuierlich zu verfolgen sind.

Im Einzelnen definiert der Standard die folgenden wesentlichen Schritte beim Management von Informationssicherheitsrisiken:

• Definition der Rahmenbedingungen (Context establishment)
  Zur Definition der Rahmenbedingungen gehören dann die Festlegung von Kriterien zur Bewertung und Akzeptanz von Risiken, die Abgrenzung des Betrachtungsbereiches sowie die Etablierung einer Organisation für das Risikomanagement.
• Identifizierung von Risiken (Risk identification)
  Risiken werden identifiziert, indem alle Unternehmenswerte erfasst werden, die im Betrachtungsbereich liegen. Dabei ist darauf zu achten, dass Unternehmenswerte nicht nur Hardware und Software umfassen, sondern auch Geschäftsprozesse und Informationen. Auch müssen alle relevanten Bedrohungen (Beispiel: Brand) sowie vorhandene Schwachstellen (Beispiel: fehlender Brandschutz) ermittelt werden. Weiterhin werden alle bestehenden oder bereits geplanten Sicherheitsmassnahmen identifiziert, da diese die Risiken beeinflussen, indem sie Eintrittswahrscheinlichkeiten oder Schadensausmass reduzieren können. Schliesslich sind die Konsequenzen zu ermitteln, die entstehen können, wenn eine Bedrohung auf eine Schwachstelle trifft. Als Konsequenzen werden unter anderem Verlust von Geschäftsvolumen oder Reputation genannt.
• Abschätzung von Risiken (Risk estimation)
  Die Bewertung des Risikos kann auf der Grundlage verschiedener Einflussgrössen erfolgen wie Kritikalität der Unternehmenswerte, Ausmass von Schwachstellen oder Auswirkungen bekannter Sicherheitsvorfälle. Grundsätzlich kann die Bewertung mit qualitativen (Beispiel: „niedrig", „hoch", „selten", „oft"), quantitativen (Beispiel: „10.000 CHF", „85 Prozent") oder hybriden Methoden erfolgen. In der Praxis wird für einen Anwendungszweck eine Methode gewählt, für die hinreichendes Zahlenmaterial verfügbar ist und deren Aussagekraft dem Ziel der Risikobewertung angemessen ist. Für die Abschätzung von Risiken müssen zum einen die Konsequenzen bewertet werden, genauer gesagt das Schadenausmass bei Verletzung der Vertraulichkeit, Integrität oder Verfügbarkeit. Zum anderen muss die Eintrittswahrscheinlichkeit eines solchen Sicherheitsvorfalls bestimmt werden. Schliesslich wird durch Kombination des Schadensausmasses und der Eintrittswahrscheinlichkeit ein Risikoniveau bestimmt.
• Auswertung von Risiken (Risk evaluation)
  Dieser Schritt ist im Standard zur Priorisierung der Risiken vorgesehen. Die Priorisierung kann beispielsweise dadurch erfolgen, dass Risiken für Unternehmenswerte, die weniger entscheidende Geschäftsprozesse unterstützen, gering priorisiert werden.
• Behandlung von Risiken (Risk treatment)
  Es ist zu entscheiden, ob ein Risiko reduziert, akzeptiert, vermieden oder übertragen wird. Während zur Reduzierung geeignete Sicherheitsmassnahmen definiert werden müssen, können Risiken, die die Akzeptanzkriterien für Restrisiken erfüllen, unbehandelt bleiben. Ein Risiko kann vermieden werden, indem bspw. ein kritisches System in einer geschützten Umgebung aufgestellt wird, wo es besser vor Naturkatastrophen bewahrt ist. Die Übertragung von Risiken an Dritte kann über Versicherungen oder durch geeignete Vertragsformulierungen erfolgen.
• Akzeptanz von Risiken (Risk acceptance)
  Das Ergebnis der Risikobehandlung ist ein Plan, der für jedes Risiko die entsprechenden Handlungsempfehlungen aufzeigt. Die Leitungsebene einer Organisation kann entscheiden, Risiken zu akzeptieren, auch wenn diese nicht die Akzeptanzkriterien erfüllen. Für diese Fälle wird eine formelle Risikoübernahme gefordert.
• Kommunikation von Risiken (Information security risk communication)
  Informationen über Risiken sollten mit Entscheidungsträgern und weiteren relevanten Mitarbeitern ausgetauscht werden.

Während die oben genannten Schritte der erstmaligen Identifizierung, Bewertung und Behandlung von Risiken dienen, definiert der Standard weitere Aktivitäten, um die Aktualität der Ergebnisse und angewandten Methoden sicherzustellen. Risiken sind von geschäftlichen Anforderungen und technologischen Rahmenbedingungen abhängig und damit einem Änderungsprozess unterworfen. Daher müssen die Risiken, das heisst auch Bedrohungen, Schwachstellen und weitere Einflussgrössen wiederkehrend auf Änderungen untersucht werden. Ebenso ist der in der Organisation angewandte Ansatz für das Risikomanagement regelmässig auf Angemessenheit zu überprüfen.

Die Anhänge des Standards enthalten unter anderem Einzelheiten und Beispiele zu Bedrohungen, Schwachstellen und Bewertungsansätzen.

Bisherige Ausgaben

• ISO/IEC 13335-2:1997
• ISO/IEC 27005:2008
• ISO/IEC 27005:2011
• ISO/IEC 27005:2018
• ISO/IEC 27005:2024
• DIN EN ISO/IEC 27005:2025

siehe https://27001.blog/de/risiko-management-nach-iso-27005

Inhalt und Anwendungsbereich
Die ISO/IEC 27006 ist aus dem Leitfaden EA-7/03 der European Accreditation Foundation hervorgegangen. Sie basiert auf der DIN EN ISO/IEC 17021-1 („Konformitätsbewertung - Anforderungen an Stellen, die Managementsysteme auditieren und zertifizieren") und ergänzt diese um die ISMS-spezifischen Anforderungen. Grundsätzlich ist diese Norm dort anzuwenden, wo die Anforderungen an Zertifizierungs- und Auditierungsstellen von ISMS gemäss ISO/IEC 27001 definiert werden. Primär dient sie der Akkreditierung von Zertifizierungsstellen, kann aber auch im Rahmen von Begutachtungen unter Gleichrangigen („peer assessments") oder zur Etablierung von Auditprozessen herangezogen werden. Ziel des Dokuments ist es, harmonisierte Anforderungen an alle Zertifizierungsstellen zu formulieren und diesen einen Leitfaden zur Umsetzung bereitzustellen, beispielsweise für Aspekte wie die Dauer von Audits.

Methodik
Die Norm legt Anforderungen und allgemeine Prinzipien für die Kompetenz von Auditoren und deren Überwachung, die Anforderungen an Zertifizierungsstellen (Beispiel: Ressourcen, rechtliche Stellung, Umgang mit Beschwerden) sowie den Auditierungs- und Zertifizierungsprozess fest. Sie übernimmt dabei die Anforderungen der DIN EN ISO/IEC 17021-1 (die daher parallel zu beachten ist) und verfeinert sie für die Auditierung und Zertifizierung von ISMS gemäss ISO/IEC 27001.

Bisherige Ausgabe

• ISO/IEC 27006:2015
• ISO/IEC 27006:2024

Name des Standards

• Guidelines for information security management systems auditing
• Leitfäden für das Auditieren von Informationssicherheitsmanagementsystemen

Inhalt und Anwendungsbereich
Die ISO/IEC 27007 gibt Hilfestellung speziell bezüglich der Auditierung eines Informationssicherheits-Managementsystems (ISMS) und ergänzt den Leitfaden ISO 19011 Leitfaden zur Auditierung von Managementsystemen. Das Dokument richtet sich primär an Erst- und Zweitparteienauditprogramme (z. B. für interne und Lieferantenaudits). Es enthält einen umfangreichen Anhang, der Hinweise zum effizienten und effektiven Auditieren aller Anforderungen der ISO/IEC 27001 enthält.

Bisherige Ausgabe

• ISO/IEC 27007:2017
• ISO/IEC 27007:2022

Name des Standards

• Guidelines for the assessment of information security controls

Inhalt und Anwendungsbereich
Der Standard bietet eine Anleitung zur Überprüfung und Bewertung der Implementierung und des Betriebs von Informationssicherheitskontrollen, einschliesslich der technischen Bewertung von Informationssystemkontrollen, in Übereinstimmung mit den festgelegten Informationssicherheitsanforderungen, einschliesslich der technischen Übereinstimmung mit den Bewertungskriterien. Der Standard bietet einen Leitfaden für die Überprüfung und Bewertung von Informationssicherheitskontrollen, die durch ein Informationssicherheitsmanagementsystem gemäss ISO/IEC 27001 verwaltet werden. Es ist auf alle Arten und Grössen von Organisationen anwendbar, einschliesslich öffentlicher und privater Unternehmen, Regierungsstellen und gemeinnütziger Organisationen, die Informationssicherheitsüberprüfungen und technische Konformitätsprüfungen durchführen.

Bisherige Ausgabe

• ISO/IEC 27008:2011
• ISO/IEC 27008:2019

Name des Standards

• Information security, cybersecurity and privacy protection. Sector-specific application of ISO/IEC 27001. Requirements

Inhalt und Anwendungsbereich
Die Norm erläutert, wie eine sektorspezifische Norm oder ein Standard erstellt wird, der die ISO/IEC 27001 und/oder ISO/IEC 27002 für den Sektor ergänzt. Sie richtet sich an Personen und Organisationen, die sektorspezifische Normen und Standards erstellen. Dazu gehören z. B. ISO-Gremien, DIN-Gremien, Industrieverbände oder das BSI.

Methodik
Die kurze Norm erläutert, worauf beim Erstellen einer sektorspezifischen Norm zu achten ist, damit sie „reibungslos" zusammen mit der ISO/IEC 27001 und ISO/IEC 27002 angewandt werden kann. Als Anhang liefert sie eine Vorlage für einen solchen Standard, in die die Inhalte des jeweiligen Sektors eingefüllt werden sollen, wobei die Formatierung gemäss den Vorgaben des jeweiligen Gremiums berücksichtigt werden soll.

Bisherige Ausgabe

• BS ISO/IEC 27009:2020

Name des Standards

• Information security management for inter-sector and inter-organizational communications

Inhalt und Anwendungsbereich
Dieser Standard bietet Kontrollen und Anleitungen, die sich speziell auf die Initiierung, Implementierung, Aufrechterhaltung und Verbesserung der Informationssicherheit in der organisations- und sektorübergreifenden Kommunikation beziehen. Sie enthält Richtlinien und allgemeine Grundsätze dazu, wie die festgelegten Anforderungen unter Verwendung etablierter Nachrichtenübermittlungs- und anderer technischer Methoden erfüllt werden können.

Der Standard ist auf alle Formen des Austauschs und der gemeinsamen Nutzung sensibler Informationen anwendbar, sowohl im öffentlichen als auch im privaten Bereich, auf nationaler und internationaler Ebene, innerhalb derselben Branche oder desselben Marktsektors oder zwischen verschiedenen Sektoren. Insbesondere kann sie auf den Austausch und die gemeinsame Nutzung von Informationen im Zusammenhang mit der Bereitstellung, der Wartung und dem Schutz der kritischen Infrastruktur anwendbar sein. Es soll die Schaffung von Vertrauen beim Austausch und bei der gemeinsamen Nutzung sensibler Informationen unterstützen und so das internationale Wachstum von Informationsaustauschgemeinschaften fördern.

Bisherige Ausgaben

• ISO/IEC 27010:2015 (letztes Review 2021)

Name des Standards

• Information security, cybersecurity and privacy protection - Information security controls based on ISO/IEC 27002 for telecommunications organizations

Inhalt und Anwendungsbereich
Die Norm enthält Richtlinien zur Unterstützung der Implementierung von Informationssicherheitskontrollen in Telekommunikationsunternehmen. Sie basiert auf ISO/IEC 27002, erweitert diesen Standard jedoch um spezifische Aspekte aus dem Bereich der Telekommunikation, die in zwei zusätzlichen Annexen dargestellt werden.

Methodik
Der Standard legt Richtlinien und allgemeine Prinzipien für das Initiieren, Umsetzen, Aufrechterhalten und Verbessern des Informationssicherheitsmanagements in einem Telekommunikationsunternehmen fest und ermöglicht damit, die grundlegenden Anforderungen in Bezug auf Vertraulichkeit, Integrität, Verfügbarkeit und andere relevante Informationssicherheitseigenschaften zu erfüllen. 

Bisherige Ausgaben

• ISO/IEC 27011:2008 (textgleich zu ITU-T Rec. X.1051:2008)
• ISO/IEC 27011:2016
• ISO/IEC 27011:2024

Name des Standards

• Guidance on the integrated implementation of ISO/IEC 27001 and ISO/IEC 20000-1

Inhalt und Anwendungsbereich
Die ISO/IEC 27013 ist ein Leitfaden für Organisationen, die eine integrierte Implementierung sowohl eines ISMS gemäss ISO/IEC 27001 als auch eines Servicemanagementsystems (SMS) gemäss ISO/IEC 20000-1.anstreben. ISO/IEC 27013 behandelt insbesondere den Fall, dass eine Organisation bereits einen der beiden Standards implementiert hat, zeigt aber auch Möglichkeiten zur gleichzeitigen Umsetzung.

Bisherige Ausgaben

• ISO/IEC 27013:2012
• ISO/IEC 27013:2015
• ISO/IEC 27013:2021 (inkl. Amendment 1:2024)

Name des Standards

• Governance of information security
• Governance der Informationssicherheit

Inhalt und Anwendungsbereich
Der Standard ISO/IEC 27014 bildet die Schnittstelle zwischen der Organisation, der Geschäftsleitung sowie den Verantwortlichen für die Umsetzung und den Betrieb eines ISMS. Es ist eine Ergänzung zu den Anforderungen aus ISO/IEC 27001. Der Standard beschreibt, wie Massnahmen zur Informationssicherheit in der gesamten Organisation umgesetzt werden sowie IT-Sicherheitsberichte in einem geschäftlichen Kontext zurück an die Geschäftsleitung gelangen. Damit sind aussagekräftige und zeitnahe Entscheidungen zur Unterstützung der strategischen Ziele der Organisation möglich.

Methodik
Die Governance der Informationssicherheit muss die Ziele und Strategien für die IT-Sicherheit an den wirtschaftlichen Zielen des Unternehmens ausrichten und gleichzeitig die Einhaltung von Gesetzen, Verordnungen und Verträgen sicherstellen. Dazu gehört ein Risiko-Management-Ansatz (z. B. nach ISO/IEC 27005) kombiniert mit einem internen Kontrollsystem (IKS). Zu den Ergebnissen einer effektiven Umsetzung der Governance gehört Folgendes. Den Status der Informationssicherheit sichtbar machen, eine Entscheidungsfindung bei der Behandlung von Informationssicherheitsrisiken ermöglichen sowie eine effiziente und effektive Planung von Investitionen gewährleisten. Weiterhin werden externe, d. h. rechtliche, regulatorische oder vertragliche, Anforderungen bestmöglich eingehalten.

Der Standard ISO/IEC 27014 definiert sechs Grundsätze:

1. Sicherstellen einer unternehmensweiten Informationssicherheit
2. Verfolgung eines risikobasierten Ansatzes
3. Richtungsentscheidungen für Investitionsentscheidungen
4. Konformität mit internen und externen Anforderungen
5. Fördern eines positiven Sicherheitsumfelds
6. Gewährleistung, dass die Sicherheitsleistung den aktuellen und künftigen Anforderungen entspricht

Bisherige Ausgaben

• ISO/IEC 27014:2013
• ISO/IEC 27014:2020

Name des Standards

• Information security management -- Organizational economics

Inhalt und Anwendungsbereich
Diese Norm bietet Richtlinien, wie eine Organisation Entscheidungen zum Schutz von Informationen treffen und die wirtschaftlichen Konsequenzen dieser Entscheidungen im Kontext konkurrierender Anforderungen an Ressourcen verstehen kann.

Folgende Kapitel sind enthalten:

• Wirtschaftsfaktoren der Informationssicherheit
  • Management-Entscheidungen
  • Geschäftsfälle
  • Interessen der Stakeholder
  • Überprüfung der wirtschaftlichen Entscheidung
• Wirtschaftliche Ziele
  • Einführung
  • Bewertungen von Informationswerten
• Abwägung der wirtschaftlichen Aspekte der Informationssicherheit
  • Einführung
  • Wirtschaftliche Vorteile
  • Wirtschaftliche Kosten
  • Anwendung wirtschaftlicher Berechnungen
• Anhang
  • Identifizierung von Stakeholdern und Zielen für die Festlegung von Werten
  • Wirtschaftliche Entscheidungen und wichtige Kostenentscheidungsfaktoren
  • Angemessene Wirtschaftsmodelle für die Informationssicherheit
  • Business Cases Berechnungsbeispiele

Bisherige Ausgaben

• ISO/IEC 27014:2014
• ISO/IEC 27014:2023

Name des Standards

• Code of practice for information security controls based on ISO/IEC 27002 for cloud services
• Anwendungsleitfaden für Informationssicherheitsmassnahmen basierend auf ISO/IEC 27002 für Cloud Dienste

Inhalt und Anwendungsbereich
Diese Norm enthält Leitlinien für Informationssicherheitskontrollen, die für die Bereitstellung und Nutzung von Cloud-Diensten anwendbar sind, und bietet:

• zusätzliche Implementierungsanleitungen für relevante Kontrollen, die in ISO/IEC 27002 spezifiziert sind;
• zusätzliche Kontrollen mit Implementierungsanleitung, die sich speziell auf Cloud-Dienste beziehen.

Diese Norm bietet Kontrollen und Umsetzungsanleitungen sowohl für Anbieter von Cloud-Diensten als auch für Kunden von Cloud-Diensten.

Bisherige Ausgaben

• ISO/IEC 27017:2015 (Überprüft 2024)
• DIN EN ISO/IEC 27017:2021

Name des Standards

• Code of practice for protection of personally identifiable information (PII) in public clouds acting as PII processors
• Leitfaden zum Schutz personenbezogener Daten (PII) in öffentlichen Cloud-Diensten als Auftragsdatenverarbeitung

Inhalt und Anwendungsbereich
Dieses Dokument legt allgemein anerkannte Kontrollziele, Kontrollen und Leitlinien für die Umsetzung von Massnahmen zum Schutz personenbezogener Daten (PII) im Einklang mit den Datenschutzgrundsätzen in ISO/IEC 29100 für die Public-Cloud-Computing-Umgebung fest.

Insbesondere werden in diesem Dokument Leitlinien auf der Grundlage von ISO/IEC 27002 festgelegt, wobei die rechtlichen Anforderungen an den Schutz von PII berücksichtigt werden, die im Kontext eines Anbieters von Public-Cloud-Diensten anwendbar sein können.

Die Richtlinien können auch für Organisationen relevant sein, die als Verantwortliche für die Verarbeitung personenbezogener Daten auftreten.

Bisherige Ausgaben

• ISO/IEC 27018:2019 (neue Version im 2025 geplant)
• DIN EN ISO/IEC 27018:2020

Name des Standards

• Information security controls for the energy utility industry 
• Informationssicherheitsmaßnahmen für die Energieversorgung

Inhalt und Anwendungsbereich
Der Standard ISO/IEC 27019 basiert auf ISO/IEC 27002 und stellt Leitlinien für ein ISMS für Prozessleitsysteme und Automatisierungstechnik in der Energieversorgungsindustrie vor. Im Fokus des Standards stehen Systeme und Netzwerke zur Steuerung, Regelung und Überwachung von Gewinnung oder Erzeugung, Übertragung, Speicherung und Verteilung von elektrischer Energie, Gas, Öl und Wärme. Dazu gehören Steuerungs- und Automatisierungssysteme, Schutz- und Sicherheits- sowie Messsysteme inklusive der Kommunikationstechnik. Der Standard fasst diese als Prozessleittechnik zusammen. Im Unterschied zur ISO/IEC 27002 stehen hier kritische Infrastrukturen im Vordergrund, die für einen sicheren und zuverlässigen Betrieb notwendig sind. Diese Infrastrukturen müssen somit auch in den Managementprozessen entsprechend berücksichtigt werden (Verfügbarkeit und Integrität der Daten).

Methodik
Der Standard ISO/IEC 27019 betrifft die folgenden Themengebiete:

• zentrale und dezentrale Prozesssteuerungs-, Leit-, Automatisierungs- und Überwachungstechnik sowie die für ihren Betrieb genutzten Informationssysteme, wie z. B. Programmier- und Parametriergeräte;
• digitale Steuerungen und Automatisierungskomponenten wie Leit- und Feldgeräte oder speicherprogrammierbare Steuerungen (SPS), inklusive digitaler Sensor- und Aktorelemente;
• alle weiteren in der Prozesstechnik genutzten unterstützenden Informationssysteme, z. B. für die Aufgabe der ergänzenden Datenvisualisierung und zur Steuerung, Überwachung, Datenarchivierung,
• Langzeitprotokollierung, Berichtswesen und Dokumentation;
• in der Prozesstechnik eingesetzte Kommunikationstechnik, z. B. Netzwerk-, Telemetrie-, Fernwirk- und Fernsteuertechnik;
• Advanced-Metering-Infrastruktur-(AMI)-Komponenten wie intelligente Zähler;
• Mess- und Zählvorrichtungen, z. B. zur Emissionswerterfassung;
• digitale Schutz- und Safety-Systeme, z. B. Schutzgeräte, Sicherheits-Steuerungen und Notfallsteuerungsmechanismen;
• Energiemanagementsysteme, z. B. für dezentrale Energieerzeugungssysteme, elektrische Ladeinfrastrukturen, in Privathaushalten, Wohngebäuden oder industriellen Kundeninstallationen;
• verteilte Komponenten von Smart-Grid-Umgebungen, z. B. in Energienetzen, Privathaushalten, Wohngebäuden oder industriellen Kundeninstallationen;
• alle Arten von Software, Firmware und Anwendungen, die auf den vorgenannten Systemen eingesetzt werden, z. B. Netzführungs-Anwendungen oder Ausfallmanagementsysteme;
• jegliche Lokalität mit den oben erwähnten Anlagen oder Systemen;
• Fernwartungssysteme für die oben aufgeführten Systeme.
• Die gesamte IT-gestützte zentrale und dezentrale Prozesssteuerung, Überwachung und Automatisierungstechnik sowie die dazu notwendigen IT-Systeme für den Betrieb, die Programmierung und Parametrisierung der Geräte
• Digitale Steuerungs- und Automatisierungskomponenten (z. B. Sensoren und Aktor-Elemente)
• Alle unterstützenden IT-Systeme in der Prozesskontrolle (z. B. Datenvisualisierung, Überwachung, Archivierung, Dokumentation)
• Die gesamte Kommunikationstechnik in den Prozessleitsystemen (z. B. Netzwerke, Remote-Control, Messgeräte)
• Schutz- und Sicherheitssysteme (z. B. Relais, SPS-Steuerungen)
• Smart-Grid-Umgebungen
• Alle Software, Firmware und Anwendungen zum Betrieb der oben genannten Systeme

Alle im Standard ISO/IEC 27002 erwähnten Kapitel werden behandelt und es wird aufgezeigt, wo ergänzende Massnahmen in der Energieindustrie notwendig sind.

Bisherige Ausgaben

• ISO/IEC 27019:2017
• DIN EN ISO/IEC 27019:2020
• ISO/IEC 27019:2024

Name des Standards

• Competence requirements for information security management systems professionals
• Anforderungen an die Kompetenz von Sachkundigen für Informationssicherheits-Managementsysteme

Inhalt und Anwendungsbereich
Die ISO/IEC 27021 spezifiziert die Kompetenzanforderungen für ISMS-Verantwortliche, die einen oder mehrere ISMS-Prozesse, die der ISO/IEC 27001 entsprechen, einrichten, implementieren, aufrechterhalten und kontinuierlich verbessern.

Folgende Kompetenzen werden beschrieben:

• Betriebswirtschaftliche Kompetenz
  • Führung
  • Kommunikation
  • Unternehmensstrategie und ISMS
  • Organisationsgestaltung, Kultur, Verhalten und Stakeholder-Management
  • Prozessgestaltung und organisatorisches Veränderungsmanagement
  • Personal-, Team- und Einzelmanagement
  • Risikomanagement
  • Ressourcenmanagement
  • Architektur von Informationssystemen
  • Projekt- und Portfoliomanagement
  • Lieferantenmanagement
  • Problem-Management
• Informationssicherheitskompetenz
  • Informationssicherheit
  • Informationssicherheitsplanung
  • Informationssicherheitsbetrieb
  • Unterstützung der Informationssicherheit
  • Informationssicherheit Leistungsbewertung
  • Verbesserung der Informationssicherheit

Bisherige Ausgaben

• ISO/IEC 27021:2017
• Zusätzlich zu berücksichtigen: Amendment 1:2021

Name des Standards

• Guidance on information security management system processes

Inhalt und Anwendungsbereich
Die ISO/IEC 27022 definiert ein Prozessreferenzmodell (Process Reference Model, PRM) für den Bereich des ISMS.

Das Dokument teilt die Prozesse in die drei Kategorien Management, Haupt (Core) und Supportprozesse ein. Insgesamt werden 17 Prozesse beschrieben. Es handelt sich dabei um die folgenden Prozesse:

• Information security governance/management interface
• Security policy management
• Requirements management
• Information security risk assessment
• Information security risk treatment
• Security implementation management
• Control outsourced services
• Assure necessary awareness and competence
• Information security incident management
• Information security change management
• Internal audit
• Performance evaluation
• Information security improvement
• Records control
• Resource management
• Communication
• Information security customer relationship management

Bei der Struktur wurde darauf geachtet, die Anforderungen aus der ISO/IEC 33004 «Prozess Referenz Modell» einzuhalten. Alle Prozessbeschreibungen sind nach der folgenden Struktur aufgebaut:

• Prozess Kategorie
• Kurze Beschreibung
• Prozess-Grafik / Flussdiagramm
• Ziele / Zweck
• Eingabe und Ausgabe
• Aktivitäten / Funktionen
• Referenzen

Bisherige Ausgaben

• ISO/IEC 27022:2021

Name des Standards

• Guidelines for information and communication technology readiness for business continuity

Inhalt und Anwendungsbereich
Die Norm ISO/IEC 27031:2011 definiert die grundlegenden Konzepte und Prinzipien zur Sicherstellung der Geschäftskontinuität im Bereich der Informations- und Kommunikationstechnologie (IKT). Sie bietet einen strukturierten Rahmen mit Methoden und Prozessen, um alle relevanten Aspekte – von Leistungskriterien über Design bis hin zur Implementierung – zu identifizieren und festzulegen. Ziel ist es, die IKT-Bereitschaft einer Organisation zu verbessern, um den kontinuierlichen Geschäftsbetrieb auch in Krisensituationen zu gewährleisten.

Diese Norm unterstützt Organisationen dabei, sicherzustellen, dass ihre IKT-Dienste und Infrastrukturen auch im Falle unerwarteter Ereignisse, Vorfälle oder Störungen funktionsfähig bleiben. Dadurch wird verhindert, dass kritische Geschäftsprozesse und deren Sicherheit beeinträchtigt werden. Zudem ermöglicht die Norm eine standardisierte und anerkannte Messung von Leistungsparametern.

Bisherige Ausgabe

• ISO/IEC 27031:2011

Name des Standards

• Cybersecurity — Guidelines for Internet security

Inhalt und Anwendungsbereich
Der Standard geht auf die Schwerpunkte Social-Engineering-Angriffe, Hacking, Malware, Spyware und andere potenziell unerwünschte Software ein. Sie bietet in der Folge Leitfäden zur Vorbereitung auf Angriffe, zu deren Aufdeckung und Überwachung sowie zu deren Abwehr. Der zweite Schwerpunktbereich dieses Standards ist die Zusammenarbeit durch einen effizienten und effektiven Informationsaustausch.

Insbesondere nimmt die Norm auch Bezug auf kritische Infrastrukturen. Dazu zählen unter anderem die Energiebranche, Lieferketten, aber auch das Gesundheitswesen.

Der Standard hat folgenden Aufbau:

• Interessierte Parteien
  • Benutzer
  • Koordinator und Normungsorganisationen
  • Staatliche Behörden
  • Strafverfolgungsbehörden
  • Anbieter von Internetdiensten
• Bewertung und Behandlung von Sicherheitsrisiken im Internet
  • Bedrohungen
  • Schwachstellen
  • Angriffsvektoren
• Kontrollen für die Internetsicherheit
  • Richtlinien für die Sicherheit im Internet
  • Zugangskontrolle
  • Ausbildung, Sensibilisierung und Schulung
  • Management von Sicherheitsvorfällen
  • Verwaltung von Vermögenswerten
  • Verwaltung von Lieferanten
  • Geschäftskontinuität über das Internet
  • Schutz der Privatsphäre über das Internet
  • Management von Sicherheitslücken
  • Verwaltung von Netzwerken
  • Schutz vor Malware
  • Verwaltung von Änderungen
  • Identifizierung der anwendbaren Gesetzgebung und der Compliance-Anforderungen
  • Einsatz von Kryptographie
  • Anwendungssicherheit für Anwendungen mit Internetanschluss
  • Verwaltung von Endgeräten
  • Überwachung

Bisherige Ausgaben

• ISO/IEC 27032:2012
• ISO/IEC 27032:2023

Name des Standards

• Network security

Inhalt und Anwendungsbereich
Ziel dieses Standards ist es, Netzwerksicherheit mittels verschiedener Richtlinien für unterschiedliche Zielgruppen detailliert in einer Organisation zu adressieren. Dabei werden Sicherheitsaspekte beim Umgang, bei der Wartung und beim Betrieb von IT-Netzwerken und deren Beziehung, auch Aussenverbindungen, betrachtet. Unter Aussenverbindung sind sowohl der Fernzugriff von Nutzern als auch logische Verbindungen zu verstehen. Für diejenigen, die innerhalb einer Organisation für die IT-Sicherheit im Allgemeinen und im Speziellen für Netzwerksicherheit verantwortlich sind, können die Informationen dieses Standards in eigene spezifische Anforderungen adaptiert werden.

ISO/IEC 27033-1: Überblick und Konzepte

• Bietet eine allgemeine Einführung in die Netzwerksicherheit.
• Definiert Begriffe, Konzepte und Prinzipien für den Schutz von Netzwerken.
• Erläutert den Zusammenhang zwischen der ISO/IEC 27033 und anderen Sicherheitsstandards.
• siehe https://27001.blog/de/iso-27033-1

ISO/IEC 27033-2: Design und Architektur sicherer Netzwerke

• Enthält Leitlinien zur Planung sicherer Netzwerkinfrastrukturen.
• Behandelt Sicherheitsmechanismen, Netzwerksicherheitszonen und Kontrollmassnahmen.
• Unterstützt Organisationen bei der Identifizierung und Implementierung geeigneter Schutzmassnahmen.
• siehe https://27001.blog/de/iso-27033-2

ISO/IEC 27033-3: Sicherheitsaspekte für Netzwerkverbindungen

• Bezieht sich auf spezifische Netzwerkverbindungen, einschliesslich WANs, LANs und virtueller Netzwerke.
• Beschreibt Sicherheitskontrollen für die Absicherung der Datenübertragung.
• Enthält Empfehlungen zur Auswahl und Implementierung geeigneter Schutzmechanismen.

ISO/IEC 27033-4: Sicherheitsaspekte für Netzwerkgateways

• Konzentriert sich auf die Sicherung von Netzwerkgrenzen und Gateways.
• Deckt Massnahmen zur Absicherung von Firewalls, Proxy-Servern und IDS/IPS-Systemen ab.
• Enthält Best Practices für das Management von Zugriffsrichtlinien.

ISO/IEC 27033-5: Sicherheitsaspekte für VPNs (Virtuelle Private Netzwerke)

• Spezifiziert Sicherheitsrichtlinien und -techniken für VPNs.
• Beschreibt verschiedene VPN-Typen wie IPsec- und SSL-VPNs sowie deren Einsatzmöglichkeiten.
• Gibt Empfehlungen für die Implementierung sicherer Kommunikationskanäle.

ISO/IEC 27033-6: Sicherheitsaspekte für WLANs (Wireless LANs)

• Fokussiert auf Sicherheitsmassnahmen für drahtlose Netzwerke.
• Behandelt Bedrohungen wie Man-in-the-Middle-Angriffe, Rogue-Access-Points und ungesicherte Verbindungen.
• Stellt Strategien zur Absicherung von WLAN-Umgebungen bereit.

Bisherige Ausgaben

• ISO/IEC 27033-1:2009
• ISO/IEC 27033-1:2015
• ISO/IEC 27033-2:2012
• ISO/IEC 27033-3:2010
• ISO/IEC 27033-4:2014
• ISO/IEC 27033-5:2013
• ISO/IEC 27033-6:2016

Name des Standards

• Application security

Inhalt und Anwendungsbereich
Der Standard befasst sich mit der Anwendungssicherheit (Application Security). Er bietet Richtlinien und Best Practices zur Integration von Sicherheitsmaßnahmen in den gesamten Lebenszyklus von Anwendungen, um Risiken zu minimieren und Schwachstellen zu vermeiden.

Die Norm hilft dabei, sichere Anwendungen zu entwickeln, bereitzustellen und zu betreiben. Sie ergänzt die übergeordnete ISO/IEC 27001, indem sie spezifische Anforderungen für die Absicherung von Software und Anwendungen definiert.

ISO/IEC 27034-1: Überblick und Konzepte

• Einführung in die Anwendungssicherheit und ihre Bedeutung.
• Definition von Begriffen, Konzepten, Prinzipien und Prozessen im Bereich der Anwendungssicherheit.
• Beschreibung des Rahmens zur Implementierung der Anwendungssicherheit.

ISO/IEC 27034-2: Organisationsnormativer Rahmen (ONF)

• Detaillierte Beschreibung des Organisationsnormativen Rahmens.
• Leitlinien für die Implementierung des ONF in Organisationen.
• Unterstützung bei der Definition von Sicherheitsrichtlinien, -prozessen und -rollen zur Sicherstellung der Anwendungssicherheit.

ISO/IEC 27034-3: Managementprozess für die Anwendungssicherheit

• Beschreibung des Prozesses zur Verwaltung der Sicherheit für jede spezifische Anwendung innerhalb einer Organisation.
• Leitlinien zur Implementierung eines strukturierten Ansatzes für das Management der Anwendungssicherheit.

ISO/IEC 27034-5: Protokolle und Datenstruktur für Anwendungssicherheitskontrollen

• Definition der minimalen wesentlichen Attribute von Anwendungssicherheitskontrollen (ASC).
• Detaillierung der Aktivitäten und Rollen des Referenzmodells für den Lebenszyklus der Anwendungssicherheit.
• Unterstützung bei der Implementierung des Anwendungssicherheitsrahmens und der Kommunikation von ASCs.

ISO/IEC 27034-5-1: Protokolle und Datenstruktur für Anwendungssicherheitskontrollen – XML-Schemata

• Bereitstellung von XML-Schemata für die in Teil 5 definierten Protokolle und Datenstrukturen.
• Unterstützung bei der standardisierten Darstellung und dem Austausch von Anwendungssicherheitskontrolldaten.

ISO/IEC 27034-6: Fallstudien

• Präsentation von Fallstudien zur Anwendung der ISO/IEC 27034-Standards in realen Szenarien.
• Bereitstellung von praktischen Beispielen und Erfahrungen zur Implementierung von Anwendungssicherheitsmaßnahmen.

ISO/IEC 27034-7: Rahmenwerk zur Vorhersage der Anwendungssicherheitszusicherung

• Einführung eines Modells zur Vorhersage des Vertrauensniveaus von Anwendungen.
• Leitlinien zur Bewertung und Vorhersage der Sicherheit von Anwendungen, basierend auf definierten Kriterien.

Bisherige Ausgaben

• ISO/IEC 27034-1:2011/Cor 1:2014
• ISO/IEC 27034-2:2015
• ISO/IEC 27034-3:2018
• ISO/IEC 27034-5:2017
• ISO/IEC 27034-5-1:2018
• ISO/IEC 27034-6:2016
• ISO/IEC 27034-7:2018

ISO/IEC 27035

• Information security incident management

Inhalt und Anwendungsbereich
Die Norm bietet umfassende Leitlinien für das Management von Informationssicherheitsvorfällen. Sie unterstützt Organisationen dabei, Sicherheitsereignisse effektiv zu erkennen, darauf zu reagieren und daraus zu lernen. Die Normenreihe gliedert sich in vier Teile.

ISO/IEC 27035-1: Grundlagen und Prozesse

• Einführung in die Prinzipien des Vorfallmanagements: Definiert grundlegende Konzepte und stellt den Prozess des Vorfallmanagements mit seinen Hauptaktivitäten vor.
• Zielsetzung: Fördert ein strukturiertes Vorgehen zur Erkennung, Bewertung und Behandlung von Sicherheitsvorfällen.
• Integration in das Informationssicherheitsmanagement: betont die Bedeutung des Vorfallmanagements als integralen Bestandteil des gesamten Sicherheitsmanagements einer Organisation.

ISO/IEC 27035-2: Leitfaden für Planung und Vorbereitung

• Planung der Vorfallreaktion: Bietet detaillierte Anleitungen zur Entwicklung von Plänen und Verfahren für die Reaktion auf Sicherheitsvorfälle.
• Vorbereitung auf Vorfälle: Empfiehlt Massnahmen zur Schaffung der notwendigen Voraussetzungen für ein effektives Vorfallmanagement, einschliesslich der Definition von Rollen und Verantwortlichkeiten.
• Lernprozess: Betont die Bedeutung des Lernens aus vergangenen Vorfällen zur kontinuierlichen Verbesserung der Sicherheitsmassnahmen.

ISO/IEC 27035-3: Leitfaden für operative Vorfallreaktion

• Operative Umsetzung: Gibt praktische Hinweise für die effektive Handhabung von Sicherheitsvorfällen im operativen Betrieb.
• Kommunikation während Vorfällen: Betont die Notwendigkeit klarer Kommunikationswege und -strategien während der Behandlung von Vorfällen.
• Wiederherstellung und Nachbereitung: Leitet dazu an, wie Systeme nach einem Vorfall wiederhergestellt und Massnahmen zur Vermeidung zukünftiger Vorfälle implementiert werden können.

ISO/IEC 27035-4: Koordination

• Leitlinien für die Zusammenarbeit mehrerer Organisationen: Bietet Empfehlungen, wie verschiedene Organisationen gemeinsam Informationssicherheitsvorfälle in koordinierter Weise handhaben können.
• Auswirkungen auf interne Vorfallmanagement-Prozesse: Erörtert, wie die externe Zusammenarbeit die internen Abläufe einer Organisation beeinflusst und wie diese angepasst werden sollten.
• Rolle des Koordinationsteams: Gibt Hinweise für ein Koordinationsteam, sofern vorhanden, zur Unterstützung der organisationsübergreifenden Vorfallreaktion.

Bisherige Ausgaben

• ISO/IEC 27035-1:2016
• ISO/IEC 27035-1:2023
• ISO/IEC 27035-2:2016
• ISO/IEC 27035-2:2023
• ISO/IEC 27035-3:2020
• ISO/IEC 27035-4:2024

Name des Standards

• Supplier relationships

Inhalt und Anwendungsbereich
Die Norm bietet Leitlinien zur Informationssicherheit in Lieferantenbeziehungen und hilft Organisationen, Sicherheitsrisiken in ihrer Lieferkette zu identifizieren und zu managen. Sie definiert Anforderungen und Best Practices für den sicheren Austausch von Informationen mit Lieferanten, einschliesslich Hardware-, Software- und Dienstleistungsanbietern sowie Cloud-Dienstleistern. Die Norm unterstützt Unternehmen dabei, Sicherheitskontrollen in ihre Verträge und Geschäftsbeziehungen zu integrieren, um potenzielle Bedrohungen frühzeitig zu erkennen und zu minimieren. Besonders betont werden Risikomanagement, Vertragsgestaltung, Überwachung von Lieferanten und Schutz der Lieferkette gegen Manipulationen oder unbefugten Zugriff.

ISO/IEC 27036-1: Überblick und Konzepte

• Bietet eine Einführung in die Informationssicherheit für Lieferantenbeziehungen.
• Definiert grundlegende Begriffe und Konzepte.
• Skizziert den allgemeinen Rahmen für die nachfolgenden Teile der Normenreihe.

ISO/IEC 27036-2: Anforderungen

• Legt spezifische Anforderungen für die Informationssicherheit in Lieferantenbeziehungen fest.
• Behandelt Themen wie Risikomanagement, Vertragsgestaltung und Überwachung von Lieferanten.
• Zielt darauf ab, ein konsistentes Sicherheitsniveau in der gesamten Lieferkette sicherzustellen.

ISO/IEC 27036-3: Leitlinien für die Sicherheit der Hardware-, Software- und Dienstleistungslieferkette

• Gibt Empfehlungen zur Sicherung der Lieferkette für Hardware, Software und Dienstleistungen.
• Betont die Bedeutung der Integrität und Authentizität von Produkten und Dienstleistungen.
• Adressiert spezifische Bedrohungen und Schwachstellen in der IT-Lieferkette.

ISO/IEC 27036-4: Leitlinien für die Sicherheit von Cloud-Diensten

• Bietet Leitlinien zur Informationssicherheit in Beziehungen zu Cloud-Dienstleistern.
• Behandelt Themen wie Datenhoheit, Zugriffskontrollen und Service-Level-Agreements.
• Unterstützt Organisationen bei der sicheren Nutzung von Cloud-Services durch effektives Lieferantenmanagement.

Bisherige Ausgaben

• ISO/IEC 27036-1:2014
• ISO/IEC 27036-1:2021
• ISO/IEC 27036-2:2014
• ISO/IEC 27036-2:2022
• ISO/IEC 27036-3:2013
• ISO/IEC 27036-3:2023
• ISO/IEC 27036-4:2016 (Überprüft 2022)

Name des Standards

• IT security consulting for small and micro enterprises
• IT-Sicherheitsberatung für Klein- und Kleinstunternehmen

Inhalt und Anwendungsbereich
Die DIN SPEC 27076 ist eine Spezifikation, die speziell für die IT-Sicherheitsberatung von kleinen und Kleinstunternehmen (KMU) entwickelt wurde. Sie bietet externen Dienstleistern einen standardisierten Prozess, um die IT-Sicherheit in diesen Unternehmen zu bewerten und zu verbessern. Kernbestandteil ist der CyberRisikoCheck, bei dem in einem strukturierten Interview 27 Anforderungen aus sechs Themenbereichen geprüft werden, um den aktuellen Sicherheitsstatus des Unternehmens festzustellen. Anhand der Ergebnisse werden konkrete Handlungsempfehlungen zur Verbesserung der IT-Sicherheit gegeben. Die Norm zielt darauf ab, KMU eine praxisnahe und effiziente Methode zur Steigerung ihrer IT-Sicherheit bereitzustellen. Entwickelt wurde die Norm durch den Bundesverband mittelständische Wirtschaft (BVMW) in Zusammenarbeit mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) sowie weiteren Partnern, darunter das Deutsche Institut für Normung (DIN), die DIN SPEC 27076 entwickelt.

Bisherige Ausgabe

• DIN SPEC 27076:2023

Name des Standards

• Information security, cybersecurity and privacy protection — Privacy information management systems — Requirements and guidances

Inhalt und Anwendungsbereich
Diese Norm legt Anforderungen fest und bietet eine Anleitung für die Einrichtung, Umsetzung, Aufrechterhaltung und kontinuierliche Verbesserung eines Datenschutz-Informationsmanagementsystems (DSMS / PIMS).

Die Norm legt PIMS-bezogene Anforderungen fest und bietet eine Anleitung für PII-Verantwortliche und PII-Verarbeiter, die für die Verarbeitung von PII verantwortlich und rechenschaftspflichtig sind (PII = Personally Identifiable Information, personenbezogene Informationen).

Bisherige Ausgaben

• ISO/IEC 27701:2019
• SN EN ISO/IEC 27701:2021
• ISO/IEC 27701:2025