Die ISO 17799 wird definiert als eine umfassende Auswahl an Kontrollmechanismen, die auf Methoden und Verfahren basieren, die sich sich in der Praxis bereits vielfach bewährt haben.

Der aktuelle ISO 17799-Standard ist eine Sammlung von Empfehlungen für Informations­sicherheits­verfahren und -methoden, die sich in der Praxis bewährt haben (Best Practices). Diese können von Unternehmen oder Organisationen beliebiger Größe in allen Industrie- und Geschäfts­bereichen eingesetzt werden. Der Standard ist bewusst flexibel ausgelegt und empfiehlt keine konkreten Sicherheitslösungen oder rät von bestimmten Alternativlösungen ab. Die Empfehlungen im Rahmen der ISO 17799 sind unvoreingenommen im Hinblick auf Technologien oder bestimmte Produkte und bieten keinerlei Hilfe bei der Bewertung oder Überprüfung bestehender Sicherheitsmaßnahmen. Dies veranlasste Kritiker dazu, den ISO 17799-Standard als zu vage und wenig aussagekräftig zu bewerten.Die Flexibilität und offene Auslegung der ISO 17799 ist jedoch durchaus beabsichtigt, da es kaum möglich ist, einen Standard zu definieren, der auf die meisten IT-Umgebungen anwendbar ist und mit dem technologischen Fortschritt Schritt halten kann. Er bietet ein Rahmenwerk für einen Bereich, in dem es vorher keinerlei Richtlinien gab. In der Praxis werden für detailiertere Richtlinien weitere Standards hinzugezogen, wie zum Beispiel die IT-Grundschutz­richtlinien des Bundesamtes für Sicherheit in der Informationstechnik oder die ISO 13335 für die Risikoanalyse.

Seit mehr als 100 Jahren legen das British Standards Institute (BSI) und die International Organization for Standardization (ISO) globale Richtlinien für Standards in den Bereichen Betrieb, Produktion und Leistung fest. Ein Bereich, für den das BSI und die ISO bisher keine Standards definiert hatte, war die Informationssicherheit. Im Jahr 1995 veröffentlichte das BSI den ersten Sicherheitsstandard, BS 7799, der darauf ausgerichtet war, die Sicherheitsaspekte im Zusammenhang mit e-Commerce abzudecken. Zu jener Zeit waren die Unternehmen allerdings mit Problemen wie Y2K und EMU beschäftigt. Zu allem Überfluss wurde der BS 7799 als zu inflexibel beurteilt und nur vereinzelt anerkannt. Der Zeitpunkt war offensichtlich nicht der richtige und Sicherheitsaspekte standen nicht im Fokus des Interesses. Vier Jahre änderte sich jedoch die Situation. Im 1999-05 legte das BSI mit der zweiten, grundlegend überarbeiteten Version des BS 7799 DATALOG Security ManagementDIN ISO 17799 - der globale Sicherheitsstandard
einen erneuten Vorschlag vor. Diese Ausgabe enthielt viele Verbesserungen und Änderungen gegenüber der Version von 1995. Die ISO fand Interesse daran und begann mit der Übernahme der BS 7799. Im 2000-12 nahm die ISO den ersten Teil von BS 7799 an und veröffentlichte diesen unter der Bezeichnung ISO 17799. Etwa zeitgleich wurde ein formelles Anerkennungs- und Zertifizierungsverfahren für die Einhaltung des Standards eingeführt. Für Y2K, EMU und ähnliche Probleme hatten sich bis zum Jahr 2000 Lösungen und entschärfende Maßnahmen gefunden und die allgemeine Qualität des Standards hatte sich erheblich verbessert. Die Annahme des ersten Teils von BS 7799 (der jene Kriterien umfasst, die die Basis des Standards bilden) durch die ISO sorgte dafür, dass man sich endlich auf Sicherheitsstandards einigte, die weltweit akzeptiert wurden.


Ähnliche Artikel

Managementsystem auf industrie-lexikon.de■■■■■
Ein Managementsystem im Industrie-Kontext ist ein organisatorischer Rahmen, der entwickelt wurde, um . . . Weiterlesen
Anbieter auf industrie-lexikon.de■■■■
Im Industriekontext bezieht sich der Begriff 'Anbieter' auf Unternehmen, Organisationen oder Einzelpersonen, . . . Weiterlesen
Düngemittel auf industrie-lexikon.de■■■■
Düngemittel sind Substanzen, die in der Landwirtschaft und im Gartenbau eingesetzt werden, um das Wachstum . . . Weiterlesen
Kauf auf industrie-lexikon.de■■■■
Der Begriff Kauf im Industriekontext bezieht sich auf den Akt des Erwerbs von Gütern, Produkten oder . . . Weiterlesen
Leitlinien auf industrie-lexikon.de■■■■
Leitlinien sind systematisch entwickelte Entscheidungshilfen über die angemessene Vorgehensweise bei . . . Weiterlesen
Verordnung auf industrie-lexikon.de■■■■
Im Industrie Kontext bezieht sich der Begriff "Verordnung" auf eine behördliche Anweisung oder Regelung, . . . Weiterlesen
Standard auf industrie-lexikon.de■■■■
Ein Standard ist eine vergleichsweise einheitliche oder vereinheitlichte, weithin anerkannte und meist . . . Weiterlesen
Zertifizierung auf industrie-lexikon.de■■■■
Zertifizierung im Industriekontext bezieht sich auf den Prozess der Bewertung und Bestätigung, dass . . . Weiterlesen
Zertifizierungsstelle auf umweltdatenbank.de■■■■
Eine Zertifizierungsstelle ist allgemein eine Organisation, die Zertifizierungen in bestimmten Bereichen . . . Weiterlesen
IT-Grundschutzhandbuch ■■■■
Das IT-Grundschutzhandbuch ist ein breit anerkanntes Security-Regelwerk des BSI Es enthält Standard-Sicherheitsmaßnahmen . . . Weiterlesen