Kurzer Rückblick auf die Geschichte der ISO 27001
Dr. Kilian Schmidt
Dr. Kilian Schmidt ist Jurist, Co-Founder und CEO der Kertos GmbH und bringt zahlreiche Jahre Erfahrung in Datenschutz- und Legal Tech mit.
AUF EINEN BLICK
Die Ursprünge der ISO 27001 liegen in den frühen 1990er Jahren, als die britische Regierung das Commercial Computer Security Centre (CCSC) mit der Entwicklung von Sicherheitsrichtlinien wie ITSEC und DISC PD003 beauftragte
Die britischen Standards BS 7799-1 (1995) und BS 7799-2 (1998) bildeten die Grundlage für die internationale Anerkennung von Informationssicherheitsmanagementpraktiken und führten später zur Entwicklung der ISO-Normen
ISO und IEC veröffentlichten im Jahr 2000 die Norm ISO/IEC 17799, die 2005 zur ISO/IEC 27001 umbenannt wurde und als globaler Standard für Informationssicherheitsmanagement etabliert ist
Die ISO/IEC 27001 wurde zuletzt 2022 aktualisiert, um neue Technologien wie Cloud Computing und mobile Geräte zu berücksichtigen und erweiterte Kontrollen für aktuelle Sicherheitsanforderungen zu bieten
Von BS 7799 zur ISO 27001: Die Entwicklung eines globalen Standards für Informationssicherheitsmanagement
Mit dem Einzug des Internets in den frühen 1990er Jahren wurde die IT-Branche bald von Sicherheitsbedrohungen geplagt. Die Unternehmen erkannten das Gefahrenpotenzial der Cybersicherheit und sahen die dringende Notwendigkeit, dass die Regierung Richtlinien für den Schutz sensibler Daten erließ.
Das Department of Trade and Industry (DTI) der britischen Regierung, das für die Förderung der britischen Industrie und des Handels zuständig ist, beauftragte das Commercial Computer Security Centre (CCSC) mit der Entwicklung von zwei Schlüsselinitiativen: den Kriterien für die Evaluierung der IT-Sicherheit (ITSEC) und den Best Practices für die Informationssicherheit. Ziel war es, einen Maßstab für die Sicherheitsbewertung von IT-Produkten festzulegen und einen Verhaltenskodex für das Management der Informationssicherheit zu schaffen.
Die Entwicklung eines Verhaltenskodex für die Informationssicherheit führte zu einem Dokument namens DISC PD003. Die Arbeit des CCSC an bewährten Praktiken für die Informationssicherheit nahm ihre endgültige Form mit der Aufteilung von DISC PD003 in BS 7799-1 und BS 7799-2 an. Das Dokument BS 7799-1, das 1995 veröffentlicht wurde, wurde in den späten 1990er Jahren in 10 Abschnitte unterteilt, die jeweils eine Reihe von Kontrollmaßnahmen und -zielen umfassten. Es bildete schließlich die Grundlage für die Norm ISO 27002.
In der Zwischenzeit ergänzte BS 7799-2, das erstmals 1998 veröffentlicht wurde, BS 7799-1, indem es einen formalen Standard für die Implementierung eines Informationssicherheitsmanagementsystems schuf. Diese britische Norm erlangte bald weltweite Anerkennung als wertvolle Ressource für das Risikomanagement im Bereich der Informationssicherheit und entwickelte sich schließlich zur ISO 27001.
Die weltweite Anerkennung beider Initiativen erregte die Aufmerksamkeit von ISO und IEC, nichtstaatlichen Gremien, die für die Festlegung internationaler Normen zuständig sind. Auf der Grundlage der Kernprinzipien und bewährten Verfahren von BS 7799-1 veröffentlichten ISO und IEC in Zusammenarbeit mit der British Standards Institution (BSI) im Jahr 2000 die Norm ISO/IEC 17799.
Angesichts der sich abzeichnenden Bedrohungen hielten ISO und IEC im Jahr 2001 eine Sitzung ab, um die Überarbeitung der ISO 17799 zu erörtern. Für eine neue Version der ISO 17799 wurde im April 2005 gestimmt; sie wurde genehmigt und schließlich im Juni 2005 veröffentlicht. Die aktualisierte Norm, die nun unter der Bezeichnung ISO/IEC 27001 bekannt ist, hat sich seitdem als weltweit anerkannter Standard für das Informationssicherheitsmanagement etabliert.
Im Jahr 2007 wurde die ISO 17799 in ISO 27002 umbenannt.
ISO 27001:2022 leicht gemacht
Bist du bereit, hunderte Stunden Zeit und jede Menge Aufwand in Datenschutz und Informationssicherheit zu sparen? Mache jetzt die Demo und finde heraus, ob Kertos die richtige Lösung für dein Unternehmen ist.
Revision 2022 – Anpassungen an neue technologische Herausforderungen
Die ISO/IEC 27001:2013 ist eine Überarbeitung der ISO 27001 aus dem Jahr 2005 und enthält geringfügige Änderungen in Wortlaut und Formatierung. Im Jahr 2022 wurde angesichts der erheblichen technologischen Fortschritte und der zunehmenden Komplexität der Sicherheitsbedrohungen die neueste Revision der ISO 27001 veröffentlicht, die bis heute gültig ist. Diese jüngste Version enthält aktualisierte Richtlinien für die Risikobewertung und -behandlung sowie erweiterte Kontrollen zur Berücksichtigung neuer Technologien wie Cloud Computing und mobile Geräte.