BS 7799
Die Norm BS 7799-1 (BS=British Standard) definiert einen „Code of practice“ für Informationssicherheit. Die Variante BS 7799-1:1999 wurde von der ISO als ISO/IEC 17799 übernommen und später in ISO/IEC 27002 umbenannt. Nach dieser Norm ist ein internes Audit des Unternehmens möglich, jedoch keine extern gültige Zertifizierung.
Der BS 7799-2 (vollständige Bezeichnung: BS 7799-2:2002 (Information security management systems – Specification with guidance for use)) stellt die Spezifikation für ein Informations-Sicherheits-Management-System (ISMS) dar. Dieses Managementsystem fügt sich in eine Reihe anderer, internationaler Management-Systeme (ISO 9001, ISO 14001, ISO 20000) ein. Der Standard BS 7799-2:2002 wurde im Jahr 2005 als ISO/IEC 27001 international genormt.
Zielsetzung
Der BS 7799 wurde mit dem Ziel veröffentlicht, Führungskräften und Mitarbeitern eines Unternehmens ein Modell zur Verfügung zu stellen, das die Einführung und den Betrieb eines effektiven ISMS erlaubt. Die Einführung eines ISMS stellt eine wesentliche strategische Entscheidung dar, die durch die Unternehmensstrategie und die Geschäftsziele des Unternehmens beeinflusst wird. Der BS 7799 wird zur Prüfung der Organisation verwendet. Dies beinhaltet ebenfalls die Anwendung durch akkreditierte Zertifizierungsunternehmen.
Entstehungsgeschichte
Die Abteilung Commercial Computer Security Center (CCSC) der Department of Trade and Industry (DTI) entwickelte als Vorreiter im Bereich des IT-Sicherheitsmanagements die sogenannten Green Books. Sie enthielten zum einen den britischen Entwurf von Evaluationskriterien für die IT-Sicherheit und ein dazugehöriges Evaluierungs- und Zertifizierungs-Schema. Gleichzeitig wurde ein „code of good security practice“ entwickelt, welcher im Ergebnis die Bücher User’s Code of Practice (V11) und Vendor’s Code of Practice (V31) hervorbrachte. Die englischen Green Books wurden von Februar bis November 1989 als Vorentwurf (englisch: draft) veröffentlicht und kamen nicht über diesen Status hinaus.[1]:102 [2]:154 f. und 160
1992 berief das britische DTI eine Kommission. Gemeinsam mit britischen Unternehmen und Organisationen sollten sie die akzeptierten Best Practices im Bereich der Informationssicherheit evaluieren. Zu den Firmen zählten Royal Dutch Shell, British Telecom, BOC, Marks & Spencer, Midland Bank, Nationwide Building Society und Unilever.[1]:103
Die Ergebnisse wurden 1993 als „Code of Practice“ veröffentlicht. Dieser wurde 1995 vom British Standards Institute (BSI) adaptiert und als BS 7799:1995 veröffentlicht. Diese Version des Standards fand jedoch keine weite Verbreitung, was primär auf seine geringe Flexibilität zurückzuführen ist. 1998 begann eine grundlegende Überarbeitung des Standards. UK-spezifische Verweise wurden entfernt und technische Entwicklung wie E-Commerce hinzugefügt. Der Standard wurde in den BS 7799-1:1999 (Teil 1) und in den BS 7799-2:1998 (Teil 2) aufgeteilt. Im Jahr 2000 adaptierte die International Organization for Standardization (ISO) den Teil 1 zur ISO/IEC 17799:2000–Norm. 2005 wurde die Norm in ISO/IEC 27002:2005 umbenannt.
Mit der BS 7799-2:1998 existierte eine Spezifikation, gegen die eine Prüfung und eine Zertifizierung stattfinden konnte. Zwei Jahre später gab es erneut signifikante Veränderungen an Teil 2, unter anderem die Einführung des Plan-Do-Check-Act-Konzepts (PDCA), woraus Version BS 7799-2:2002 resultierte. Die Weiterentwicklung des BS 7799-2 ist die internationale Norm ISO/IEC 27001, welche seit dem Jahr 2005 eine international gültige Zertifizierungsgrundlage darstellt.
Zertifizierung
Eine Zertifizierung der Informationssicherheit ist grundsätzlich nur nach dem BS 7799-2:2002 möglich. Eine Zertifizierung nach ISO/IEC 17799 ist grundsätzlich nicht im Rahmen einer qualifizierten Zertifizierung möglich. Eine Zertifizierung ist dann qualifiziert, wenn sie durch eine Gesellschaft ausgeführt wird, die unter der Aufsicht einer Akkreditierungsgesellschaft wie dem United Kingdom Accreditation Service (UKAS) oder der Deutschen Akkreditierungsstelle (DAkkS) steht. Im Falle einer BS 7799-Zertifizierung ist ein Zertifikat drei Jahre gültig. Ein Zwischenaudit (Surveillance Audit) erfolgt im Abstand von sechs Monaten. Eine vollständige Neuzertifizierung erfolgt nach drei Jahren.
Struktur
0. Einleitung
- 0.1. Allgemein
- 0.2. Prozessansatz
- 0.3. Vereinbarkeit mit anderen Managementsystemen
1. Umfang
- 1.1 Allgemein
- 1.2. Anwendung
2. Normative Referenzen
3. Begriffsdefinitionen
4. Anforderungen an ein Informationssicherheitsmanagementsystem (ISMS)
- 4.1. Allgemeine Anforderungen
- 4.2. Einführung und Leitung des ISMS
- 4.3. Dokumentationsanforderungen
5. Verantwortung der Leitung
- 5.1. Verpflichtungen der Leitung
6. Managementbeurteilung des ISMS
- 6.1 Allgemein
- 6.2. Beurteilungsvorgaben
- 6.3. Beurteilungsergebnisse
- 6.4. Interne ISMS Audits
7. ISMS Verbesserung
- 7.1. Kontinuierliche Verbesserung
- 7.2. Korrigierende Maßnahmen
- 7.3. Vorbeugende Maßnahmen
Managementsystem
Die Kapitel 4 bis Kapitel 7 enthalten die organisatorischen Rahmenbedingungen für die Einführung und den Betrieb des Informations Sicherheits Management Systems. Dies sind im Wesentlichen:
- Interne Revision
- Überprüfung durch das Management
- Dokumentenlenkung
- Risikomanagement
Anhang A
Der Anhang A des BS 7799 stellt eine Liste von Kontrollen bereit, die in sowohl technische, als auch organisatorische Maßnahmen unterteilt sind. Diese Liste der Kontrollen ist in ISO/IEC 17799 in einem stärkeren Detaillierungsgrad enthalten. Die Kapitel 3 bis 12 des ISO/IEC 17799-2000 entsprechen den Kapitel A.3. bis A.12 des BS 7799-2:2002.
Siehe auch
Einzelnachweise
- Jörg Völker: BS 7799. (PDF; 277 kB) Von „Best Practice“ zum Standard. In: Datenschutz und Datensicherheit (DuD). 2004, abgerufen am 6. Dezember 2013 (Nr. 28, S. 102–108).
- D. W. Roberts: Evaluation criteria for it security. Computer Security and Industrial Cryptography, Band 741. Springer, Berlin / Heidelberg 1993, S. 149–161.