ISO/IEC 27001

In der praktischen Anwendung orientiert sich die Informationssicherheit am IT-Sicherheitsmanagement und an den international gültigen ISO/IEC-27000-Normreihen. Es handelt sich dabei um ein internationales, branchen- und größenunabhängiges Grundverständnis für Informationssicherheitsmanagement.

Die Ausrichtung an den Geschäftszielen und der Strategie, folgt den Geschäftsprozessen (ist kein IT Standard) und verfolgt dabei einen ganzheitlichen, risikobasierten Ansatz - die Verantwortung liegt bei der obersten Leitung (top
down).

Eine sinnvolle Anwendung ist dabei auch ohne Zertifizierung möglich und erlaubt das Zusammenwirken mit bzw. die Integration in Managementsysteme wie z.B. Qualität (ISO 9001) und Umwelt (ISO 14001). Sie genießt große Akzeptanz bei Kunden und Lieferanten.

Als Nachweis der Konformität mit den Anforderungen ist eine Zertifizierung gemäß
ISO/IEC 27001 möglich.

ISO 27001 auf Basis von IT-Grundschutz

In Deutschland regelt der IT-Grundschutz viele Aspekte der Sicherheit von Informationen, Daten und IT-Systemen.

Der vom BSI (Bundesamt für Sicherheit in der Informationstechnik) entwickelte IT-Grundschutz stellt eine Basis für Informationssicherheit und ermöglicht es, notwendige Sicherheitsmaßnahmen zu identifizieren und umzusetzen.

Neben verschiedenen Verfahren zur Herangehensweise (Basisabsicherung, Kernabsicherung, Standardabsicherung) enthält der IT-Grundschutz eine umfassende Methodik für IT-Sicherheitsmanagement und sehr viele unterstützende
Materialien, sowie ein sehr gutes und umfassendes „Standard-Sicherheitsniveau“  mit definierten Maßnahmen. Es sind dabei bereits viele Maßnahmen für höherwertige Sicherheit bei hohem und sehr hohem Schutzbedarf enthalten.
 

Eine Zertifizierung gemäß „ISO 27001 auf Basis von IT-Grundschutz“ ist möglich, allerding sollte man beachten, dass es sich (noch) um keine internationale Akkreditierung handelt - entspricht mehr einer nationalen Auslegung der Norm.

TISAX

TISAX (Trusted Information Security Assessment Exchange) ist ein von der Automobilindustrie definierter Standard für Informationssicherheit. Eine große Zahl von Automobilherstellern und Zulieferern der deutschen Automobilindustrie verlangen von bestimmten Geschäftspartnern eine TISAX-Zertifizierung um das Niveau der Informationssicherheit definieren und nachweisen zu können.

Der Anforderungskatalog ist dabei von der ISO/IEC 27001 abgeleitet, aber um bestimmte Nachweiskategorien wie Reifegrad erweitert worden. Des Weiteren wurden Elemente aus den Spezifikas der Automobilbranche (Sicherheitslevel, Prototypenschutz, Entwicklungsmethodiken etc.) eingebunden.

Der Katalog unterliegt einer kontinuierlichen Weiterentwicklung durch die Mitgliedsunternehmen des Verbands der Automobilindustrie e. V. (kurz: VDA) welche den Anforderungskatalog auch entwickelt haben.