Diskussion:ISO/IEC 27001

Diese Diskussionsseite dient dazu, Verbesserungen am Artikel „ISO/IEC 27001“ zu besprechen. Persönliche Betrachtungen zum Thema gehören nicht hierher. Für allgemeine Wissensfragen gibt es die Auskunft.

Füge neue Diskussionsthemen unten an:

Klicke auf Abschnitt hinzufügen, um ein neues Diskussionsthema zu beginnen.

• Diskussionsregeln
• Hilfe zu Diskussionsseiten
• Sei sachlich und freundlich!
• Greife niemanden persönlich an!
• Geh von guten Absichten aus.

Entwicklung

Zum Absatz:

Seit Oktober 2005 ist die ISO 27001 die erste internationale Norm, die eine Zertifizierung 
von ISMSen ermöglicht. Daher versuchen bestehende Managementsysteme (
z.B.das IT-Grundschutzhandbuch) ihre Systeme zu nach ISO 27001 zertifizierbaren System auszubauen.

Was war Oktober 2001? IT-Grundschutz ist ein völlig anderer Ansatz, und zwar ein technischer, während ISMS ein organisatorischer Ansatz ist. Risikomanagement gibts beim Grundschutz nicht. Daher würde ich das so nicht schreiben. --~ğħŵ ☎℡ 10:57, 29. Jun 2006 (CEST)

Hallo, das 2001 ist ein fehler von mir, richtig ist 2005! Das GSHB wurde in der Version 2005 umstrukturiert, jetzt gibt es einmal "Kataloge" und drei Standards mit "Methodik". Wenn man die Standards umsetzt erfüllt man die Anforderungne der ISO 27001, deswegen sind künftig alle GS-Zertifikate gleichzeitig auch ISO 27001 Zertifikate.

--Badenserbub 12:00, 29. Jun 2006 (CEST)

Also dass GS-Zertifikate "automatisch" ISO 27001 Zertifikate sind, kann ich mir nicht vorstellen. Es ist ohne weiteres auch nicht möglich, weil der Ansatz ein völlig anderer ist: GS geht von einem grundlegenden Gefährdungskatalog aus, Risikomanagement gibts dort nicht (Risiko* kommt im GSHB exakt 0 mal vor), während ISMS eine systematische Vorgehensweise mit Risikomanagement als zentralem Element. Dass man beides auf einmal machen kann, steht auf einem anderen Blatt, mit dem GS alleine wird man aber nie ein 27001-taugliches System haben. --~ğħŵ ☎℡ 14:51, 29. Jun 2006 (CEST)

Um auf einen gleichen Diskussionstand zu kommen [1] und [2]. --Badenserbub 08:37, 30. Jun 2006 (CEST)

Das ist aber ein bisser ein Unterschied (wenn ma schon i-Tüpferl reiten tun): 17799 beschreibt kein ISMS, ist daher auch keine Zertifizierungsgrundlage für ein ISMS (das ist eben nur die 27001). Da in der 17799 technische Aspekte zur IT-Sicherheit beschrieben werden, ist es simpel, diese mit dem GS zu vergleichen. IT-Grundschutz ist immer noch ein rein technischer Ansatz basierend auf einem simplen Katalog und enthält keinerlei Aspekte des Risikomanagements oder des IS Managements. Mit Hilfe der BSI-Standards 100-1, 100-2, 100-3 kann, aufbauend auf dem GS, ein ISMS etabliert werden, welches zu dem der 27001 kompatibel sein kann. GS alleine ist definitiv kein Managementsystem (völlig anderer Ansatz). Zudem hat der GS lediglich in .de bestenfalls nationale Bedeutung. Diese Details passen in den GS-Artikel IMHO besser, als hierher (dass man nach mehreren Standards zertifizieren kann, ist nichts neues). Auch ein GS+BSI 100 Zertifikat ist kein ISO 27001 Zertifikat. Es kann lediglich eine Zertifizierung nach 27001 gleichzeitig durchgeführt werden. --~ğħŵ ☎℡ 09:05, 30. Jun 2006 (CEST)

Konformitätsbewertung /Wesentlicher Unterschied zu ISO 17xxx

Letzter Kommentar: vor 14 Jahren3 Kommentare3 Personen sind an der Diskussion beteiligt

Im Artikel sollte der wesentliche Unterschied einer Konformitätsbewertung nach ISO 27xxx gegenüber anderen Bewertungen, z.B. nach ISO 17xxx klar zur Sprache kommen. Es scheint so zu sein, dass der darin liegt, dass nach ISO 27xxx die Zertifizierung nach erfolgter Konformitätsbewertung nie von demjenigen vorgenommen wird, der die Konformität bewertet hat, sondern dass dies immer ein Dritter tut, der damit implizit die Bewertungsentscheidung überprüft. Ist das so? In welcher Untervorschrift von ISO 27xxx (27001?) steht das? -- 213.178.69.186 11:45, 18. Jun. 2007 (CEST)Beantworten

Hm? Du meinst die Vorgehensweise, das ein Auditor eines Certification Body (z.B. DQS) das ISMS der Zielorganisation auf Konformität prüft und dieser Auditbericht samt Zertifizierungsvotum an ein Kommitee innerhalb des CB weitergereicht wird, welches daraufhin das Zertifikat erteilt bzw nicht? Das wäre ISO/IEC 17021:2005, ch. 9.1.14. Kann sein, das auch noch etwas in der ISO 19011 steht, auf diese habe ich aber derzeit keinen Zugriff. Das ist aber an sich eine Standardvorgehensweise für Audits generell und keine Differenz zwischen 17xxx und 27xxx. (nicht signierter Beitrag von 193.24.227.5 (Diskussion | Beiträge) 14:16, 6. Aug. 2007 (CEST)) Beantworten

Bei allen Zertifizierungen von Managementsystemen durch akkreditierte Stellen nach 17021 ist es so, dass die Auditoren die Konformität mit der entsprechenden Norm in der zu zetifizierenden Organisation überprüfen. Über das Audit verfassen die Auditoren aussagekräftige Unterlagen, u.a. einen Auditbericht. Ist das System im Rahmen der Stichprobe normkonform bzw. ohne systematische Fehler, empfehlen die Auditoren dem Zertifizierungsbüro die Zertifizierung bzw. die Aufrechterhaltung derselbigen (Überwachungsaudit). Das Zertifizierungsbüro prüft daraufhin die eingereichten Unterlagen durch kompetentes Personal (zumindest zugelassene Auditoren mit entsprechender Fachkompetenz) und gibt diese dann ggf. frei (4-Augenprinzip). Per Definition besteht die Zertifizierungsstelle aus dem Zertifizierungsbüro und den Auditoren, die in Ausübung ihrer Tätigkeit Mitarbeiter der Zertifizierungsstelle sind und dieser im laufenden Verfahren und in der Aufrechterhaltung ihrer Auditorenzulassung fachlich unterstehen.

Die 19011 regelt das Management eines Auditprogramms, die Audittätigkeiten und die Qualifikation und Bewertung von Auditoren. Die aktuelle Version von 2002 bezieht sich allerdings nur auf ISO 9001 und 14001, wird durch die Akkreditierer (in Deutschland die Deutsche Akkreditierungsstelle DAkkS, vorher TGA GmbH) aber ebenfalls auf 27001 angewandt (nicht signierter Beitrag von 92.116.250.98 (Diskussion | Beiträge) 11:19, 27. Mär. 2010 (CET)) Beantworten

Ungenügende Allgemeinverständlichkeit

Letzter Kommentar: vor 9 Jahren2 Kommentare2 Personen sind an der Diskussion beteiligt

Wie es leider bei vielen deutschen Normen üblich zu sein scheint, ist auch hier die Artikel-Einleitung nur ungenügend allgemeinverständlich. Kann bitte mal jemand der genau weiss was diese Norm normen soll, zumindest die Einleitung verständlicher formulieren.
--Konrad F. 16:47, 21. Jun. 2009 (CEST)Beantworten

Ja, man würde auch gerne verstehen was sich (bzw. ob...) sich Konkretes hinter so einem ' Buzzword-Katalog verbirgt... Viel Hoffnung hab ich aber nicht dass ich das jemals (hier) erfahre. --Itu (Diskussion) 00:41, 4. Jul. 2014 (CEST)Beantworten

DIN EN ISO/IEC 27001:2017 - gibt es nicht

Letzter Kommentar: vor 3 Jahren2 Kommentare2 Personen sind an der Diskussion beteiligt

Der Standard nennt sich ISO 27001:2013. ISO 27001:2017 ist irreführend. Auch wenn es Korrekturen in den Folgejahren gab, so lautet der Standard auf das Jahr "2013". Eine Verlinkung zum Shop des Beuth Verlages als Quelle halte ich zudem für fragwürdig.

Liste aller Standards: https://www.iso.org/committee/45306/x/catalogue/p/1/u/0/w/0/d/0 (nicht signierter Beitrag von 89.14.134.159 (Diskussion) 13:07, 23. Sep. 2020 (CEST))Beantworten

Hallo 89.14.134.159,

1. der Einzelnachweis bezieht sich auf die deutsche Übersetzung der Norm ISO 27001:2013. Die deutsche Übersetzung kam mehrere Jahre später, weil auch die Übersetzung unterliegt einen Konsensmodell wie die eigentliche Erarbeitung einer Norm. Insbesondere ist eine Übersetzung von genormten Begriffen nie wertfrei & interpretationsfrei – gerade die deutsche Sprache bietet da viel mehr Differenzierung als die englische Sprache.
2. Der Beuth-Verlag ist die offizielle Quelle, weil jede DIN-Norm (u. a auch eine ISO-Übersetzung von DIN) exklusiv im Beuth Verlag veröffentlich wird, da es ein DIN-Tochterunternehmen ist. Auch die PDF-Datei einer DIN-Norm wird vom Beuth-Verlag herausgegeben. Bei der DIN ist die Recherche nach einer Norm nicht unmittelbar möglich, weil diese Webseite eher für die Bearbeiter einer Norm gedacht ist. Stellt man eine Support-Anfrage an www.DIN.de zur Norm-Recherche, dann wird man auf die DIN-Tochterunternehmen Beuth-Berlag verwiesen.

PS: Ob im Zeitalter der PDF-Norm-Dateien, der kostenpflichtige Verkauf von Normen noch zeitgemäß ist zu Preisen als wenn es noch ein echtes Print-Erzeugniss wäre, ist eine politische Frage die leider keine prominente Diskussion ist. Selbst die Mitarbeiter die kostenlos an eine DIN-Norm mitarbeiten müssen die finale Version kostenpflichtig beim Beuth-Verlag kaufen und erhalten keinen Rabatt. Früher waren die hohen Beuth-Norm-Preise in Ordnung, weil eine Norm früher 15 Jahre und länger unverändert genutzt werden konnte. Heute unterliegen Normen einen viel kürzeren Lebenszyklus und der kostenpflichtig Verkauf bremst auch die Verbreitung von Normen. Wenn kein Gesetz die Anwendung einer Norm fordert (teilweise mit Nennung der Norm-Nummer), dann sieht es mit der freiwilligen Anwendung von Normen inzwischen mau aus, weil es in der heutigen Welt ganz viele Standardisierungsorganisationen gibt die kostenlose PDF-Dateien herausgeben können. Letztendlich ändert meine PS-Anmerkung aber nichts daran, dass jede DIN-Norm erst dann offiziell existiert nach einem DIN-Beschluss, wenn die finale Fassung vom Beuth-Verlag erstellt und zum Verkauf gestellt wird. --ocrho (Diskussion) 21:32, 23. Sep. 2020 (CEST)Beantworten