Dieses Dokument ersetzt DIN EN ISO/IEC 27000:2017-10 .

Gegenüber DIN EN ISO/IEC 27000:2017-10 wurden folgende Änderungen vorgenommen:

• a) die Einleitung wurde umformuliert;
• b) einige Begriffe und Definitionen wurden entfernt;
• c) Abschnitt 3 wurde auf die High-Level-Struktur für MSS ausgerichtet;
• d) Abschnitt 5 wurde überarbeitet, um die Änderungen in den betrachteten Standards zu berücksichtigen;
• e) Anhang A und Anhang B wurden entfernt;
• f) redaktionelle Überarbeitung der Norm.

Dieses Dokument beinhaltet die in der ISO/IEC 2700x-Normenfamilie einheitlich verwendete Terminologie und gibt einen Überblick über die Normen aus dem Umfeld der Informationssicherheitsmanagementsysteme, die als Normen der ISO/IEC 2700x-Normenfamilie veröffentlicht sind.

Inhaltsverzeichnis

Nationales Vorwort
Vorwort
Einleitung

1 Anwendungsbereich

2 Normative Verweisungen

3 Begriffe

• Zugangssteuerung
• Angriff
• Audit
• Auditumfang
• Authentisierung
• Authentizität
• Verfügbarkeit
• Elementarmessgröße
• Kompetenz
• Vertraulichkeit
• Konformität
• Folge
• fortlaufende Verbesserung
• Maßnahme
• Maßnahmenziel
• Korrektur
• Korrekturmaßnahme
• abgeleitete Messgröße
• dokumentierte Information
• Wirksamkeit
• Ereignis
• externer Kontext
• Steuerung der Informationssicherheit
• Steuerungsgremium
• Indikator
• Informationsbedarf
• informationsverarbeitende Einrichtungen
• Informationssicherheit
• Aufrechterhaltung der Informationssicherheit
• Informationssicherheitsereignis
• Informationssicherheitsvorfall
• Handhabung von Informationssicherheitsvorfällen
• Fachkraft für Informationssicherheitsmanagementsysteme
• informationsaustauschende Gemeinschaft
• Informationssystem
• Integrität
• interessierte Partei / Stakeholder
• interner Kontext
• Risikoniveau
• Wahrscheinlichkeit
• Managementsystem
• Messgröße
• Messung
• Messfunktion
• Messmethode
• Überwachung
• Nichtkonformität
• Nichtabstreitbarkeit
• Ziel
• Organisation
• ausgliedern
• Leistung
• Politik
• Prozess
• Zuverlässichkeit
• Anforderung
• Restrisiko
• Überprüfung
• Überprüfungsobjekt
• Ziel der Überprüfung
• Risiko
• Risikoakzeptanz
• Risikoanalyse
• Risikobeurteilung
• Risikokommunikation und –absprache
• Risikokriterien
• Risikobewertung
• Risikoidentifizierung
• Risikomanagement
• Risikomanagementprozess
• Risikoeigentümer
• Risikobehandlung
• Standard zur Einführung von Sicherheit
• Bedrohung
• oberste Leitung
• vertrauenswürdige Einheit zur Informationsverbreitung
• Schwachstelle

4 Managementsysteme für Informationssicherheit (ISMS)

4.1 Allgemeines

4.2 Was ist ein ISMS?

Überblick und Grundsätze
Informationen
Informationssicherheit
Management
Managementsystem

4.3 Prozessorientierter Ansatz

4.4 Warum ein ISMS wichtig ist

4.5 Einführung, Überwachung, Pflege und Verbesserung eines ISMS

Übersicht
Identifizierung von Informationssicherheitsanforderungen
Beurteilung von Informationssicherheitsrisiken
Behandlung von Informationssicherheitsrisiken
Auswahl und Umsetzung von Maßnahmen
Überwachung, Aufrechterhaltung und Verbesserung der Wirksamkeit des ISMS
Fortlaufende Verbesserung

4.6 Kritische Erfolgsfaktoren für das ISMS

4.7 Nutzen der ISMS-Normenfamilie

5 Die ISMS-Normenfamilie

5.1 Allgemeine Informationen

5.2 Norm, die einen Überblick und die Terminologie beschreibt: ISO/IEC 27000 (dieses Dokument)

5.3 Normen, die Anforderungen festlegen

• ISO/IEC 27001 und DIN EN ISO/IEC 27001
• ISO/IEC 27006 und DIN EN ISO/IEC 27006
• ISO/IEC 27009 und DIN ISO/IEC 27009

5.4 Normen, die allgemeine Leitfäden beschreiben

• ISO/IEC 27002 und DIN EN ISO/IEC 27002
• ISO/IEC 27003
• ISO/IEC 27004
• ISO/IEC 27005 und DIN EN ISO/IEC 27005 - Entwurf
• ISO/IEC 27007 und DIN EN ISO/IEC 27007
• ISO/IEC TS 27008
• ISO/IEC 27013
• ISO/IEC 27014
• ISO/IEC TR 27016
• ISO/IEC 27021

5.5 Normen, die branchenspezifische Leitfäden beschreiben

• ISO/IEC 27010
• ISO/IEC 27011 und DIN EN ISO/IEC 27011
• ISO/IEC 27017 und DIN EN ISO/IEC 27017
• ISO/IEC 27018 und DIN EN ISO/IEC 27018
• ISO/IEC 27019 und DIN EN ISO/IEC 27019
• ISO 27799

Literaturhinweise (informativ)

Literaturhinweise (informativ)