ISO 27000 - Qualitätssicherung in der Softwareentwicklung und im Softwaretest

Die ISO/IEC 27000 Familie beschäftigt sich mit Informations(sicherheit)-Management.
Sie sollte für einen Großteil von Firmen relevant sein, da eigentlich alle Informationen verarbeiten (weit über die IT hinaus) und auf deren Schutz und Zuverlässigkeit angewiesen sind.

Der wichtigste Teil dürfte die ISO/IEC 27001 sein, welche die Anforderungen an ein ISMS (Information Security Management System) aufstellt. Alle anderen Teile beschäftigen sich im Großen Ganzen mit der Umsetzung und dem Risikomanagement (ISO 27005).

Ein ISMS beinhaltet Prozesse, Dokumente, Werkzeuge, Audits und Rollen zum Betrieb, Überwachung und Verbesserung der Informationssicherheit und ähnelt daher der ISO 9000 für Qualitätsmanagement. Genauso wie diese ist der Standard ISO 27001 zertifizierbar und auf nahezu jede Firmengröße und Branche anpassbar.

Er beinhaltet aktuell grob folgende Bereiche:
* Allgemeine Sicherheitspolitik (Projektmanagement, Software, ...)
* Entwicklung des ISMS (ISO 27003: Prinzipien, Bedingungen, Prüfungen, ...)
* Organisation-, Mitarbeiter- und objektbezogenes Informationsmanagement
* Physisches Informationssicherheitsmanagement und externe Schnittstellen
* Operatives Management und Kommunikation
* Management von Vorfällen zum Informationssicherheitsmanagement

Das Risikomanagement sollte Gefahren analysieren und passende Kontrollen (ISO 27004) installieren:
* Allgemeines Bewusstsein schaffen
* Zugangskontrollen und Zugriffsbegrenzungen einrichten
* Nur relevante Daten speichern
* Verschlüsselung nutzen
* Daten auch physisch schützen
* Die operative Verwendung auf den relevanten Bereich einschränken
* Nur relevante Daten kommunizieren und weitergeben
* Vorfälle aufklären und Maßnahmen einleiten
* ...

Mehr Informationen:
http://www.iso27001security.com