04.01.2007

Unterschiede zwischen ISO 27001 und ISO 17799

04.01.2007 18:50 / Kommentare (1) / Selber kommentieren? /
Kategorien: / ICT - IT-Sicherheit /

Da ich mal wieder eine dieser Googleanfragen in meinen Logs fand, bei dem sich jemand nach dem Unterschied zwischen ISO 27001 und ISO 17799 schlau machen wollte, nachfolgend eine kurze Erklärung zu den beiden Standards im Bereich der Information Security Management Systems / Informationssicherheitsmanagementsystemen (ISMS).

BS 7799 ist Anfang der 1990er als Sammlung von "Best Practices" der Informationssicherheit entwickelt worden und wurde 1995 als BS 7799:1995 erstmalig veröffentlicht. In der Folgezeit wurde diese Version überarbeitet und die nun zweigeteilte Version 1999 neu-veröffentlicht. Seitdem konnten ISMS geprüft und zertifiziert werden.

Part-1 ist dabei der "Code of Practice", welcher - grob gesagt - detaillierendere Implementierungshilfen für Clauses und Controls des Part-2 "Specification with guidance for use" gibt.

Part-2 beinhaltet die konkreten Anforderungen an ein ISMS, über welche ein solches auch auditiert und zertifiziert werden konnte. Das letzte Update von Part-2 erfolgte 2002 durch die systematische Verwendung des PDCA-Vorgehens und Verabschiedung als BS 7799-2:2002.

Der Part-1 wurde 2000 als BS 7799-1:2000 zuletzt veröffentlicht, und in dieser Form von der ISO als ISO/IEC IS 17799:2000 als internationaler Standard akzeptiert. Eine Zertifizierung nach diesem Standard ist nicht möglich. (Er enthält ja schliesslich keine Zertifizierungsanforderungen.)

Part-2 wurde nach weiteren Anpassungen schliesslich im Oktober 2005 als Pendant von der ISO als ISO/IEC IS 27001:2005 veröffentlicht und begründete damit die Entstehung der ISO 27000 Standardfamilie, welche in den nächsten Jahren die relevanten ISO-Standards zur Informationssicherheit und speziell deren Management in sich vereinen wird. Eine Zertifizierung von ISMS ist nur nach ISO 27001 möglich!

Im Rahmen dieser Entwicklung der ISO 27000-Familie wird vorraussichtlich im Q1/2007 endgültig beschlossen, ISO/IEC IS 17799:2005 in ISO/IEC IS 27002:2007 umzubennen, ein entsprechender Kommentar findet sich bereits im Vorwort des Standards.

Kurzer Entwicklungspfad:

BS 7799:1995
   -> BS 7799-1:1999 -> BS 7799-1:2000 | ISO/IEC IS 17799:2000 -> ISO/IEC IS 17799:2005 ( -> ISO/IEC IS 27002:2007 )
   -> BS 7799-2:1999 -> BS 7799-2:2002 -> ISO/IEC IS 27001:2005

Siehe auch:
http://de.wikipedia.org/wiki/BS7799
http://de.wikipedia.org/wiki/ISO_17799
http://de.wikipedia.org/wiki/ISO_27001

Trackbacks

Kommentare

Sonja / 09.01.2007, 04:25

Hi!
Supigeil, danke für den Kommentar! Jetzt fühl ich mich nämlich voll schlau, weil ich ganz von allein 'controls' mit 'Sicherheitsmaßnahmen' übersetzt habe! :)
Und ich habe ein Programm übersetzt, dass auf dem BS 7799 basierte (hab ich etwas später herausgefunden) Du lagst also gar nicht so schlecht ;)
lg
Sonja

Selber kommentieren?











[←neuere Einträge] [ältere Einträge→]