Suchen

Genormte und zertifizierte Anwendungen Macht Standardisierung nach ISO/IEC 27001 eine Software wirklich sicher?

| Autor / Redakteur: Juan Ceballos, CISSP / Stephan Augsten

Der Standard ISO 27001 lässt sich durchaus bei der Entwicklung von Software nutzen. Die Frage ist jedoch, welche Vorteile das mit sich bringt, denn diese Vorgehensweise ermöglicht lediglich eine Momentaufnahme für Softwaresicherheit. Erst zusammen mit einer am Softwarelebenszyklus orientierten Entwicklungsmethode lässt sich die Sicherheit nachhaltig verbessern.

Firmen zum Thema

Auch im Software-Entwicklungszyklus ist ISO 27001 ein durchaus nützlicher Security-Standard.
Auch im Software-Entwicklungszyklus ist ISO 27001 ein durchaus nützlicher Security-Standard.
( Archiv: Vogel Business Media )

Seit einigen Jahren investieren vor allem im asiatischen Raum viele Unternehmen in Standards. Dazu gehört auch die Norm ISO/IEC 27001 für Informationssicherheits-Managementsysteme (ISMS). Dabei handelt es sich nicht nur um IT-Dienstleister, sondern auch um Softwareentwicklungshäuser. Durch eine international anerkannte Zertifizierung wie ISO/IEC 27001, soll sowohl die Sicherheit eines Produktes nachgewiesen, als auch die eigene Position im Markt verbessert werden. Bei dieser Vorgehensweise gibt es vorab zwei wesentliche Fragen, die geklärt werden müssen:

1. Ist eine ISO 27001 Zertifizierung für kommerzielle Produkte genauso sinnvoll wie für interne IT-Systeme?

2. Wie sicher sind ISO 27001-zertifizierte Produkte wirklich?

Was ist ISO 27000 und was spricht dafür?

Zu ISO 27000 gehören ISO 27001 und ISO 27002. ISO 27001 formuliert Anforderungen, Zielsetzungen und Prozesse zur Informationssicherheit, sowie konkrete Sicherheitskontrollen anhand der individuellen Bedürfnisse einer Organisation. ISO 27002 ist ein „Best Practices Guide“ mit detaillierten Spezifikationen für die Einführung des ISMS. Einige Gründe, die dafür sprechen, ein ISMS nach ISO einzuführen sind:

Effizienzsteigerung und Transparenz: Ein ISMS stellt sicher, dass die Sicherheitsanforderungen des Kunden erfüllt und eine höhere Effizienz durch einen systematischen Prozessansatz erzielt werden. Durch das ISMS kann ein Unternehmen bestehende Risiken besser verstehen und entsprechende Gegenmaßnahmen ergreifen.

Wettbewerbsvorteil: Häufig wird eine ISO 27001 Zertifizierung angestrebt, weil Konkurrenten bereits eine besitzen oder daran arbeiten. Ein ISO-Siegel auf der eigenen Webseite hat oft eine positive Wirkung auf Kunden und Medien.

Business Enabler: Ein ISMS wird immer häufiger von Kunden als Geschäftsvoraussetzung angefordert, um das eigene Risiko bei dem Erwerb von externen Dienstleistungen zu reduzieren und um die eigene Zertifizierung erhalten zu können.

Seite 2: Kann ISO 27001 die Software-Sicherheit gewährleisten?

(ID:2051870)