article

Die BS7799-2:2002 (vollständige Bezeichnung: BS7799-2:2002 (Information security management systems - Specification with guidance for use)) stellt die Spezifikation für ein Informations-Sicherheits-Management-System (ISMS) dar. Dieses Management-System fügt sich in eine Reihe anderer, internationaler Management-Systeme (ISO9001, ISO14001, ISO 20000) ein. Der Standard wurde im Jahr 2005 als ISO 27001 international genormt.

Was ist das Ziel?

Der BS7799 wurde mit dem Ziel veröffentlicht, Führungskräften und Mitarbeitern eines Unternehmens ein Modell zur Verfügung zu stellen, das die Einführung und den Betrieb eines effektiven ISMS erlaubt. Die Einführung eines ISMS stellt eine wesentliche strategische Entscheidung dar, die durch die Unternehmensstrategie und die Geschäftsziele des Unternehmens beeinflusst wird. Der BS7799 wird zur Prüfung der Organisation verwendet. Dies beinhaltet ebenfalls die Anwendung durch akkreditierte Zertifizierungsunternehmen.

Die Entstehungsgeschichte des BS7799

1992 hat das britische Department of Trade and Industry (DTI) eine Kommission ins Leben gerufen, die die akzeptierten Best Practices im Bereich der Informationssicherheit evaluieren sollte. Die Ergebnisse wurden 1993 als „Code of Practice“ veröffentlicht. Dieser wurde 1995 vom British Standard Institute adaptiert und als BS 7799:1995 veröffentlicht.Diese Version des Standards fand jedoch keine weite Verbreitung, was primär auf seine geringe Flexibilität zurückzuführen ist. 1998 wurde der Standard grundlegend überarbeitet und erneut veröffentlicht. Erst 1999 wurde er in zwei Teile aufgeteilt. Nun existierte eine Spezifikation, gegen die eine Prüfung stattfinden konnte. Im Jahr 2000 adaptierte die International Organization for Standardization (ISO, www.iso.ch) den Teil 1 zu ISO 17799:2000. Zwei Jahre später gab es erneut signifikante Veränderungen an Teil 2, unter anderem die Einführung des Plan-Do- Check-Act-Konzepts (PDCA), woraus Version BS 7799-2:2002 resultierte.

Die Weiterentwicklung des BS 7799 ist die internationale Norm ISO/IEC 27001 welche seit dem Jahr 2005 eine international gültige Zertifizierungsgurndlage darstellt.

Die Struktur des BS7799

Der BS7799 teilt sich auf in zwei wesentliche Teilbereiche: Management System, Kapitel 4 bis 7 Technische und Organisatorische Kontrollen Kapitel A.3. bis A.12.

Das Managementsystem des BS7799

Das Management System der Kapitel 4 bis Kapitel 7 enthält die organisatorischen Rahmenbedingungen für die Einführung und den Betrieb des Informations Sicherheits Management Systems. Dies sind im Wesentlichen: Interne Revision Überprüfung durch das Management Dokumentenlenkung Risikomanagement

Der Anhang A des BS7799

Der Anhang A des BS7799 stellt eine Liste von Kontrollen bereit, die in sowohl technische, als auch organisatorische Maßnahmen unterteilt sind. Diese Liste der Kontrollen ist in ISO17799 in einem stärkeren Detaillierungsgrad enthalten. Die Kapitel 3 bis 12 des ISO 17799-2000 entsprechen den Kapitel A.3. bis A.12 des BS7799-2:2002.

Zertifizierung

Eine Zertifizierung der Informationssicherheit ist grundsätzlich nur nach BS7799-2:2002 möglich. Eine Zertifizierung nach ISO 17799 ist grundsätzlich nicht im Rahmen einer qualifizierten Zertifizierung möglich. Eine Zertifizierung ist dann qualifiziert, wenn sie durch eine Gesellschaft ausgeführt wird, die unter der Aufsicht einer Akkreditierungsgesellschaft, wie UKAS (UK) oder TGA (Deutschland) steht. Im Falle einer BS7799 Zertifizierung ist ein Zertifikat 3 Jahre gültig. Ein Zwischenaudit (Surveillance Audit) erfolgt im Abstand von 6 Monaten. Eine vollständige Neuzertifizierung erfolgt nach 3 Jahren.

Weblinks

IT-Sicherheit

BS 7799 | Bs 7799

 

This article is licensed under the GNU Free Documentation License. It uses material from the "BS7799".

Home Pageartsbusinesscomputersgameshealthhospitalshomekids & teensnewsphysiciansrecreationreferenceregionalscienceshoppingsocietysportsworld