Die ISO/IEC-27000-Familie
Grundlagen
Eine ganze Normenfamilie
ISO/IEC 27001 steht nicht allein. Sie ist Teil der ISO/IEC-27000-Reihe – einer Familie von Normen rund um Informationssicherheit. ISO 27001 ist der zertifizierbare Kern, die anderen Normen liefern Begriffe, Leitfäden und Vertiefungen.
| Norm | Inhalt | Rolle |
|---|---|---|
| ISO/IEC 27000 | Überblick & Begriffe (Vokabular) | Definitionen, kostenlos |
| ISO/IEC 27001 | Anforderungen an ein ISMS | Zertifizierbar – das „Muss" |
| ISO/IEC 27002 | Leitfaden zu den Maßnahmen aus Anhang A | Umsetzungshilfe – das „Wie" |
| ISO/IEC 27003 | Anleitung zur Umsetzung des ISMS | Leitfaden |
| ISO/IEC 27004 | Überwachung, Messung, Analyse, Bewertung | Kennzahlen |
| ISO/IEC 27005 | Informationssicherheits-Risikomanagement | Risiko-Leitfaden |
Das Zusammenspiel
Man kann sich die Familie als Schichten vorstellen:
27000 → Begriffe & Überblick (das Fundament) 27001 → WAS muss ich tun? (Anforderungen, zertifizierbar) 27002 → WIE setze ich es um? (Leitfaden zu den Maßnahmen) 27005 → WIE manage ich Risiken? (Risiko-Methodik)
Sektorspezifische Erweiterungen
Über den Kern hinaus gibt es spezialisierte Normen für bestimmte Branchen oder Themen:
- ISO/IEC 27017 – Informationssicherheit für Cloud-Dienste.
- ISO/IEC 27018 – Schutz personenbezogener Daten (PII) in öffentlichen Clouds.
- ISO/IEC 27701 – Erweiterung zum Datenschutz-Managementsystem (PIMS).
- ISO 27799 – Informationssicherheit im Gesundheitswesen.
Wichtig zum Verständnis
Nur ISO/IEC 27001 ist zertifizierbar. Alle anderen Normen der Familie sind Leitfäden – sie helfen bei der Umsetzung, werden aber nicht selbst auditiert. Für den Einstieg sind vor allem 27001 (Anforderungen) und 27002 (Maßnahmen-Leitfaden) relevant – den Unterschied klären wir im nächsten Kapitel.
Nach welcher Norm der 27000-Familie kann sich eine Organisation zertifizieren lassen?