Normenverzeichnis » Norm: DIN EN ISO/IEC 27001

Änderungsvermerk

Dieses Dokument ersetzt DIN EN ISO/IEC 27001:2017-06 .

Gegenüber DIN EN ISO/IEC 27001:2017-06 wurden folgende Änderungen vorgenommen:

  • a) der Text wurde an die harmonisierte Struktur für Managementsystemnormen und an ISO/IEC 27002:2022 angepasst.

Das zuständige nationale Normungsgremium ist der Gemeinschaftsarbeitsausschuss NA 043-04-13 GA "DIN/DKE Gemeinschaftsgremium Cybersecurity" im DIN-Normenausschuss Informationstechnik und Anwendungen (NIA).

Beschreibung

Dieses Dokument legt die Anforderungen für die Einrichtung, Umsetzung, Aufrechterhaltung und fortlaufende Verbesserung eines Informationssicherheitsmanagementsystems im Kontext der Organisation fest. Darüber hinaus beinhaltet dieses Dokument Anforderungen für die Beurteilung und Behandlung von Informationssicherheitsrisiken entsprechend den individuellen Bedürfnissen der Organisation.

Die in diesem Dokument festgelegten Anforderungen sind allgemein gehalten und sollen auf alle Organisationen, ungeachtet ihrer Art und Größe, anwendbar sein.

Inhaltsverzeichnis

Nationales Vorwort
Vorwort
Einleitung

1 Anwendungsbereich

2 Normative Verweisungen

3 Begriffe

Vermerk: vgl. DIN EN ISO/IEC 27018, DIN EN ISO/IEC 29100

4 Kontext der Organisation

  • Verstehen der Organisation und ihres Kontextes
  • Verstehen der Erfordernisse und Erwartungen interessierter Parteien
  • Festlegen des Anwendungsbereichs des Informationssicherheitsmanagementsystems
  • Informationssicherheitsmanagementsystem

5 Führung

  • Führung und Verpflichtung
  • Politik
  • Rollen, Verantwortlichkeiten und Befugnisse in der Organisation

6 Planung

6.1 Maßnahmen zum Umgang mit Risiken und Chancen

  • Allgemeines
  • Informationssicherheitsrisikobeurteilung
  • Informationssicherheitsrisikobehandlung

6.2 Informationssicherheitsziele und Planung zu deren Erreichung

6.3 Planung von Änderungen

7 Unterstützung

  • Ressourcen
  • Kompetenz
  • Bewusstsein
  • Kommunikation
  • Dokumentierte Information
    • Allgemeines
    • Erstellen und Aktualisieren
  • Steuerung dokumentierter Information

8 Betrieb

  • Betriebliche Planung und Steuerung
  • Informationssicherheitsrisikobeurteilung
  • Informationssicherheitsrisikobehandlung

9 Bewertung der Leistung

  • Überwachung, Messung, Analyse und Bewertung
  • Internes Audit
    • Allgemeines
    • Internes Auditprogramm
    • Managementbewertung
    • Allgemeines
    • Eingaben für die Managementbewertung
    • Ergebnisse der Managementbewertung

10 Verbesserung

  • Fortlaufende Verbesserung
  • Nichtkonformität und Korrekturmaßnahmen

Anlage A - Verweisung auf Informationssicherheitsmaßnahmen (normativ)

Literaturhinweise

Literaturhinweise (informativ)