23.08.2006

ISO 13335 "Management of Information and Communications Technology Security (MICTS)"

23.08.2006 19:43 / Kommentare (0) / Kommentieren? /
Kategorien: / ICT - IT-Sicherheit /

Ich beginne mal damit, ein paar einschlägige Einträge aus meinem Wiki zu importieren und zu aktualisieren. Nachfolgend die aktualisierte Kurzbeschreibung zu ISO 13335.

Ursprünglich als fünfteiliger Technical Report 13335 "Guidelines for the management of IT security (GMITS)" gestartet, erfolgte die Revision zur Verabschiedung als "International Standard 13335 - Management of Information and Communications Technology Security (MICTS)", welcher dann aus zwei Teilen aufgebaut ist.

Der ISO TR 13335 wurde als ein möglicher Kandidat zur Standardisierung von IT-Sicherheit entwickelt.

Er beschreibt:
  • Konzepte und Modelle der möglichen IT-Sicherheitsstruktur, abhängig von der Form der zu betrachtenden Organisation (Part 1, "Concepts and Models");
  • Aufgaben und Problemstellungen, die eine Organisation behandeln muss, wenn sie ihr IT-Sicherheitsprogramm erstellt oder ändert (Part 2, "Managing and Planning IT Security");
  • das nötige Risikomanagement und Vorgehensweisen zur Ermittlung geeigneter Schutzmassnahmen auf Basis der gewählten Vorgehensweise (Part 3, "Techniques for the Management of IT Security");
  • Verweise zu detaillierten Hilfsmitteln und Massnahmenkatalogen, die im Rahmen der gewählten IT-Strategie zur Auswahl kommen können (Part 4, "Selection of Safeguards") und
  • die Probleme und Vorgehensweisen, die bei der Verbindung des eigenen IT-Verbundes mit fremden Netzen auftreten können (Part 5, "Safeguards for External Connections")

    Im Rahmen der Revision von GMITS zu MICTS wurden die originären Teile 1 und 2 als "Part 1: Concepts and models for information and communications technology security management" zusammengelegt, die Teile 3 und 4 zu "Part 2: Techniques for information and communications technology security risk management".

    Teil 5 wurde dem Projekt "ISO/IEC 2nd WD 18028-1: 2003, Information technology - Security techniques - IT network security - Part 1: Network security management" hinzugefügt und aus ISO/EIC 13335 entfernt.



    Klicken vergrössert

    Für die nähere Zukunft kann davon ausgegangen werden, das MICTS Part 2 in den kommenden Standard ISO/EIC 27005 "Information Security Risk Management" (mit) überführt wird. (Siehe auch [1], Seite 12. Ich persönlich tippe ja auf den alten GMITS Part 3-Anteil.)

    Zusätzlich besteht die vage Möglichkeit(!), das weitere Elemente des MICTS Part 2 (diesmal wohl dann der GMITS Part 4-Anteil ["Selection of Safeguards"!]) als Input für ISO/EIC 27003 "ISMS implementation guidelines" dienen werden. (Siehe [2],[3]) Dies konnte mir jedoch nicht bestätigt werden.

    • Trackbacks

    Kommentare

    Selber kommentieren?











    [←neuere Einträge] [ältere Einträge→]