Es handelt sich um einen Standard, der von der ISO (Internationale Organisation für Standardisierung) und dem IEC (Internationales elektrotechnisches Komitee) entwickelt, herausgegeben und gepflegt wird. Wichtige Zielsetzungen von ISO/IEC 27000 sind die Festlegung einer einheitlichen Terminologie und die Definition einheitlicher (standardisierter) Kriterien, nach denen Organisationen hinsichtlich einer umfassenden und effektiven Verwaltung und Steuerung ihrer Aktivitäten zur Gewährleistung der Informationssicherheit bewertet (auditiert) werden können.

ISO/IEC 27000 ist grundsätzlich nicht auf bestimmte Industriebereiche, Branchen oder Organisationsformen beschränkt. Die beiden Haupt-Dokumente dieses Standards richten sich demnach an alle Arten von Organisationen. Es gibt jedoch einige spezielle Publikationen im Rahmen dieser Normenreihe, die für bestimmte Branchen entwickelt wurden (siehe die nächsten zwei Fragen).

ISO/IEC 27000 ist eine Reihe von Dokumenten, die sich entweder in normativer (d.h. fordernder) oder in informativer (d.h. empfehlender) Weise mit dem Thema Informationssicherheitsmanagement befassen. Die verschiedenen Dokumente haben dabei unterschiedliche Zielsetzungen und Zielgruppen. Das zentrale Dokument ist ISO/IEC 27001. Hier werden zum einen die Mindestanforderungen an ein Informationssicherheits-Managementsystem (ISMS) beschrieben (Kapitel 4 bis 8), zum anderen werden in einer tabellarischen Darstellung über 130 Sicherheitsmaßnahmen (die sogenannten Controls) beschrieben (Anhang A). Das zweite Haupt-Dokument, ISO/IEC 27002 trägt den Beinamen „Code of Practice“ und enthält auf 138 Seiten Umsetzungshinweise (implementation guidance) für die in ISO/IEC 27001 beschriebenen Controls.

• ISO/IEC 27000 ist der einzige internationale Standard zum Thema Informationssicherheitsmanagement.
• ISO/IEC 27000 besteht nicht aus einem einzigen, sondern aus einer Reihe von Dokumenten.
• Das zentrale Dokument ist die Norm ISO/IEC 27001. Sie wird auch „Specification“ genannt und definiert auditierbare Mindestanforderungen und Controls.
• Der „Code of Practice“ ISO/IEC 27002 enthält Umsetzungsanleitungen für die Maßnahmen zur Gewährleistung der Informationssicherheit.
• ISO/IEC 27001 ist eine allgemeingültige Norm und nicht beschränkt auf bestimmte Branchen. Es gibt jedoch branchenspezifische Ergänzungen/Erweiterungen, wie zum Beispiel ISO/IEC 27011 für Telekommunikationsunternehmen oder ISO/IEC 27799 für Organisationen im Gesundheitswesen.
• ISO/IEC 27000 legt die Basis für eine einheitliche Terminologie. Es werden Begriffe wie „Wert (Asset)“, „Informationssicherheit“, „Risikoanalyse“, „Risikoakzeptanz“ oder „Risikobehandlung“ definiert.
• Ein ISO/IEC 27000-Zertifikat bescheinigt einer Organisation nicht ein jederzeit maximales Maß an Informationssicherheit, sondern weist nach, dass sie über ein umfassendes und effektives Informationssicherheits-Managementsystem (ISMS) verfügt und in der Lage ist, mit Sicherheitsrisiken umzugehen.
• ISO/IEC 27000 hängt eng zusammen mit ISO/IEC 20000 (IT Service Management) und ISO 9000 (Qualitätsmanagement). Von allen drei Standards ist ISO/IEC 27000 der detaillierteste und am stärksten spezialisierte.
• Gemäß ISO/IEC 27000 sind die drei wichtigsten Teilaspekte der Informationssicherheit die Informationsverfügbarkeit, Vertraulichkeit und Integrität.
• ISO/IEC 27000 kann im Kontext verwandter Rahmenwerke und Ansätze (wie zum Beispiel BSI-Grundschutzkataloge, COBIT, ITSM) von Bedeutung sein.

ISO/IEC 27000 verwendet den Begriff des Managementsystems in ähnlicher Bedeutung wie ISO 9001 (Norm für Qualitätsmanagement): Ein Managementsystem ist die Gesamtheit aller Prozesse, Werkzeuge (Tools) und Ressourcen (z.B. Menschen, Anlagen), die in koordinierter Weise eingesetzt werden, um die anfallenden Managementaufgaben ziel-, kunden- und qualitätsorientiert zu planen, auszuführen, zu dokumentieren und ständig zu verbessern. Der Begriff des ISMS beschreibt also alle Prozesse, Verfahren und Maßnahmen (Controls), die in einer Organisation geplant und angewendet werden, um das erforderliche Niveau der Informationssicherheit zu gewährleisten. Den Controls wird dabei eine besonders hohe Bedeutung zuteil (siehe nächste Frage).

Dieser Begriff spielt in ISO/IEC 27000 eine ganz essenzielle Rolle. Die beste deutsche Übersetzung ist “Sicherheitsmaßnahme”. Es handelt sich bei einem Control also um eine konkrete Maßnahme, die von einer Organisation ergriffen wird, um ihre Informationssicherheit in einem bestimmten Bereich zu erhöhen.

Die Controls werden im normativen Anhang A von ISO/IEC 27001 (Specification) definiert und aufgelistet. Insgesamt gibt es 133 Controls (Maßnahmen), von denen jedes einem von insgesamt 39 Control Objectives (Maßnahmenziele) zugeordnet ist. Hierfür gibt es 11 übergeordnete Themenbereiche. Ein Beispiel wäre der Themenbereich A.9: Physische und umgebungsbezogene Sicherheit. Die beiden Control Objectives in diesem Themenbereich sind A9.1: Sicherheitsbereiche und A9.2: Sicherheit von Betriebsmitteln. Ein Beispiel für ein Control ist die Sicherheit der Verkabelung. ISO/IEC 27001 spezifiziert dieses Control näher, und ISO/IEC 27002 (Code of Practice) gibt Umsetzungshinweise. Solche Beispiele sind allerdings nie repräsentativ für den gesamten Standard, da dieser Controls aus sehr verschiedenen Themenbereichen (zum Beispiel auch organisatorische Aspekte, Benutzerverantwortung, personelle Sicherheit, Notfallschutz, Betriebssicherheit) enthält.

Ja. Beide Standards befassen sich mit Managementsystemen. ISO/IEC 27000 spezifiziert (in ISO/IEC 27001) Anforderungen und Controls für ein Informationssicherheits-Managementsystem (ISMS). ISO/IEC 20000 beschreibt im Kapitel 6.6 ebenfalls solche Anforderungen. Zusammenfassend kann man sagen, dass ISO/IEC 20000-1 im Kapitel 6.6 eine stark komprimierte Auflistung der wichtigsten Kernanforderungen aus ISO/IEC 27001 enthält.

Die wichtigen Dokumente ISO/IEC 27001 (Specification) und ISO/IEC 27002 (Code of Practice) sind sowohl in englischer als auch in deutscher Sprache verfügbar.

Wie alle ISO-Standards ist auch ISO/IEC 27000 nicht frei verfügbar, sondern unterliegt der Lizenz der internationalen Organisation für Standardisierung (ISO). Wenn Sie beispielsweise die Haupt-Dokumente ISO/IEC 27001 und ISO/IEC 27002 als PDF-Version herunterladen möchten, fallen dafür Gebühren in Höhe von etwa 312 Euro an. Wenn Sie am mITSM einen ISO 27000-Kurs besuchen, erhalten Sie für die Dauer des Kurses (je nach Modul 2 oder 3 Tage) persönliche und kursbegleitende Ansichtsexemplare der Standards ISO/IEC 27001 und ISO/IEC 27002.