Genormte und zertifizierte Anwendungen

Macht Standardisierung nach ISO/IEC 27001 eine Software wirklich sicher?

Seite: 2/3

Firmen zum Thema

Kann ISO 27001 die Software-Sicherheit gewährleisten?

Die Sicherheit von Softwareprodukten ist nicht ohne geeignete Kontrollmaßnahmen zu haben. Die konsequente Implementierung von Kontrollmaßnahmen stellt aber gerade im Softwarelebenszyklus eine große Herausforderung dar. Aus diesem Grund werden Zertifizierungen für Softwareprodukte und deren Entwicklungsprozesse nur sehr zögerlich eingesetzt. Trotzdem findet man einige Hersteller, die behaupten, sichere Software anhand ISO 27001-Prozesse zu entwickeln.

Dazu muss gesagt werden, dass es nicht verpflichtend ist den Anwendungsbereich der Zertifizierung zu veröffentlichen. Die Beschränkung auf einen Prozess, ein System oder einen Standort macht es einem Unternehmen natürlich einfacher, eine Zertifizierung erfolgreich einzuführen. So kann es auch vorkommen, dass sich die Anwendungsbereiche der Zertifizierung nicht auf die Produktherstellung beziehen, sondern auf Dienstleistungen, IT- oder Beratungsprozesse.

Wie sich ISO 27001 und S-SDLC ergänzen

Beim Secure Software Development Lifecycle (S-SDLC) handelt es sich um eine Methode der Software-Entwicklung, die die Sicherheit eines Produktes bereits während der Konzeption berücksichtigt. Deshalb ergänzen sich S-SDLC und ISO-Kontrollmaßnahmen optimal, da ISO-Kontrollen als Teil des S-SDLC strukturiert werden können.

Das ISMS wird als Ergänzung des bestehenden Qualitätsmodells implementiert und unabhängig von der Entwicklungsmethode definiert. ISO erfordert dabei hauptsächlich eine klare Dokumentation der folgenden Aspekte:

  • ISMS-Definition und Festlegung
  • Verantwortlichkeiten
  • Interne ISMS-Audits
  • Management des ISMS
  • Verbesserung des ISMS
  • Interne Organisation
  • Management von externen Dienstleistungen

Seite 3: ISO 27001 in der Software-Entwicklung

(ID:2051870)