Genormte und zertifizierte Anwendungen

Macht Standardisierung nach ISO/IEC 27001 eine Software wirklich sicher?

10.06.2011 | Autor / Redakteur: Juan Ceballos, CISSP / Stephan Augsten

Auch im Software-Entwicklungszyklus ist ISO 27001 ein durchaus nützlicher Security-Standard.
Auch im Software-Entwicklungszyklus ist ISO 27001 ein durchaus nützlicher Security-Standard.

Der Standard ISO 27001 lässt sich durchaus bei der Entwicklung von Software nutzen. Die Frage ist jedoch, welche Vorteile das mit sich bringt, denn diese Vorgehensweise ermöglicht lediglich eine Momentaufnahme für Softwaresicherheit. Erst zusammen mit einer am Softwarelebenszyklus orientierten Entwicklungsmethode lässt sich die Sicherheit nachhaltig verbessern.

Seit einigen Jahren investieren vor allem im asiatischen Raum viele Unternehmen in Standards. Dazu gehört auch die Norm ISO/IEC 27001 für Informationssicherheits-Managementsysteme (ISMS). Dabei handelt es sich nicht nur um IT-Dienstleister, sondern auch um Softwareentwicklungshäuser. Durch eine international anerkannte Zertifizierung wie ISO/IEC 27001, soll sowohl die Sicherheit eines Produktes nachgewiesen, als auch die eigene Position im Markt verbessert werden. Bei dieser Vorgehensweise gibt es vorab zwei wesentliche Fragen, die geklärt werden müssen:

1. Ist eine ISO 27001 Zertifizierung für kommerzielle Produkte genauso sinnvoll wie für interne IT-Systeme?

2. Wie sicher sind ISO 27001-zertifizierte Produkte wirklich?

Was ist ISO 27000 und was spricht dafür?

Zu ISO 27000 gehören ISO 27001 und ISO 27002. ISO 27001 formuliert Anforderungen, Zielsetzungen und Prozesse zur Informationssicherheit, sowie konkrete Sicherheitskontrollen anhand der individuellen Bedürfnisse einer Organisation. ISO 27002 ist ein „Best Practices Guide“ mit detaillierten Spezifikationen für die Einführung des ISMS. Einige Gründe, die dafür sprechen, ein ISMS nach ISO einzuführen sind:

Effizienzsteigerung und Transparenz: Ein ISMS stellt sicher, dass die Sicherheitsanforderungen des Kunden erfüllt und eine höhere Effizienz durch einen systematischen Prozessansatz erzielt werden. Durch das ISMS kann ein Unternehmen bestehende Risiken besser verstehen und entsprechende Gegenmaßnahmen ergreifen.

Wettbewerbsvorteil: Häufig wird eine ISO 27001 Zertifizierung angestrebt, weil Konkurrenten bereits eine besitzen oder daran arbeiten. Ein ISO-Siegel auf der eigenen Webseite hat oft eine positive Wirkung auf Kunden und Medien.

Business Enabler: Ein ISMS wird immer häufiger von Kunden als Geschäftsvoraussetzung angefordert, um das eigene Risiko bei dem Erwerb von externen Dienstleistungen zu reduzieren und um die eigene Zertifizierung erhalten zu können.

Seite 2: Kann ISO 27001 die Software-Sicherheit gewährleisten?

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 2051870 / Security Best Practices)