Der British Standard 7799 (BS 7799) ist ein Standard, der einen Verhaltenskodex bietet und Richtlinien zum Schutz von IT-Systemen bereitstellt. Er umfasst einen Managementrahmen sowie Ziele und Kontrollanforderungen für Informationssicherheits-Managementsysteme (ISMS).

Geschichte und Entwicklung

Der BS 7799 wurde ursprünglich 1995 vom British Standards Institution (BSI) veröffentlicht. Der Standard wurde geschaffen, um auf den wachsenden Bedarf an Informationsschutz in einer zunehmend digitalen und vernetzten Welt zu reagieren. Der BS 7799 wurde entwickelt, um einen konsistenten und praktischen Rahmen für das Informationssicherheitsmanagement zu bieten.

Struktur des Standards

Der BS 7799 besteht aus zwei Hauptteilen:

1. BS 7799-1: Verhaltenskodex für das Informationssicherheitsmanagement. Er bietet eine detaillierte Anleitung zu einer breiten Palette von Sicherheitskontrollen, die angewendet werden können, um Informationssicherheitsrisiken zu bewältigen.
2. BS 7799-2: Spezifikation für Informationssicherheits-Managementsysteme. Er definiert die Anforderungen für die Einrichtung, Implementierung, Aufrechterhaltung und kontinuierliche Verbesserung eines ISMS. Er ist für Organisationen gedacht, die ihr ISMS formalisieren und zertifizieren lassen möchten.

Ziele und Kontrollen

Der BS 7799 zielt darauf ab, die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen zu schützen. Zu den Hauptzielen gehören:

• Risikomanagement: Identifizierung, Bewertung und Behandlung von Informationsrisiken.
• Zugriffskontrolle: Sicherstellung, dass nur autorisierte Personen auf Informationen zugreifen können.
• Physische und umgebungsbezogene Sicherheit: Schutz von Informationen vor physischen und umweltbedingten Bedrohungen.
• Personalmanagement: Sicherstellung, dass Mitarbeiter ihre Sicherheitsverantwortlichkeiten verstehen.
• Betriebskontinuität: Vorbereitung auf und Reaktion auf Vorfälle, die den Geschäftsbetrieb unterbrechen könnten.

Implementierung

Die Implementierung des BS 7799 erfordert eine gründliche Bewertung der Informationsrisiken und die Einführung geeigneter Kontrollen zur Minderung dieser Risiken. Der typische Implementierungsprozess umfasst:

1. Risikobewertung: Identifizierung der Informationsrisiken und Bewertung ihrer Auswirkungen.
2. Auswahl der Kontrollen: Auswahl geeigneter Sicherheitskontrollen zur Minderung der identifizierten Risiken.
3. Implementierung: Anwendung der ausgewählten Kontrollen und Sicherstellung, dass diese betriebsbereit sind.
4. Überwachung und Überprüfung: Kontinuierliche Überwachung der Wirksamkeit der Kontrollen und Überprüfung des Informationssicherheits-Managementsystems, um dessen Effektivität zu verbessern.

Zertifizierung

Eine Organisation kann die BS 7799-Zertifizierung erhalten, indem sie die Einhaltung der Standardanforderungen durch eine unabhängige Bewertung nachweist. Die Zertifizierung gibt den Stakeholdern die Gewissheit, dass die Organisation effektive Praktiken des Informationssicherheitsmanagements implementiert hat.

Entwicklung

Der BS 7799 hatte einen erheblichen Einfluss auf das Informationssicherheitsmanagement weltweit. Er wurde später als Grundlage für den internationalen Standard ISO/IEC 27001 übernommen, der auch heute noch weit verbreitet ist.

Fazit

Der BS 7799 spielte eine entscheidende Rolle bei der Definition von Praktiken für das Informationssicherheitsmanagement und beeinflusst weiterhin aktuelle Standards. Durch die Umsetzung der Richtlinien und Kontrollen des BS 7799 können Organisationen ihre Informationen besser schützen und das Risiko von Sicherheitsverletzungen reduzieren.