ISO 27010:2015

Demo buchen

Team, Job., Foto, jung, Geschäftsleute, Crew, arbeiten, mit, neu, Startup

Was ist ISO 27010?

ISO/IEC 27010:2015 präsentiert Strategien zu Methoden, Modellen, Prozessen, Richtlinien, Kontrollen, Protokollen und anderen Rahmenwerken für den Informationsaustausch mit vertrauenswürdigen Gegenparteien unter Wahrung grundlegender Konzepte der Informationssicherheit.

Die Internationale Elektrotechnische Kommission (IEC) und die Internationale Organisation für Normung (ISO) haben gemeinsam ISO 27010 herausgegeben. Zusätzlich zu den Anweisungen in der ISO 27000-FamilieDer Standard regelt die Integration des Informationssicherheitsmanagements in Informationsaustauschgruppen.

ISO 27010 zielt darauf ab, gemeinsames Wissen über sensible Infrastrukturen zu sichern. Es schlägt vor Standardregeln zur Vermeidung von Sicherheitsproblemen bei der Übertragung vertraulicher Informationen ebenso gut wie:

  • Informationsaustausch zwischen Organisationen
  • Die Risiken des Wissensaustauschs
  • Einführung von Kontrollen zur Minderung solcher Risiken
  • Mögliche Vorfälle, die auftreten könnten

ISO 27010 bietet Richtlinien für die Zusammenarbeit und Zusammenarbeit im Bereich der Informationssicherheit zwischen Organisationen in denselben Sektoren, in verschiedenen Industriezweigen und mit Regierungen.

Der Standard enthält außerdem Leitlinien für den Informationsaustausch in Krisenzeiten und den Schutz lebenswichtiger Infrastruktur sowie für das gegenseitige Verständnis unter normalen Geschäftsbedingungen, um rechtliche, behördliche und vertragliche Verpflichtungen zu erfüllen.

Die Geschichte von ISO/IEC 27010:2015

ISO 2012 wurde erstmals im Jahr 27010 veröffentlicht und erhielt im Jahr 2015 geringfügige redaktionelle Änderungen. Diese Überarbeitung wurde vorgenommen, um besser mit den Versionen von 2013 übereinzustimmen ISO / IEC 27001 und ISO 27002 . Im Dezember 2015 wurde die zweite Ausgabe der ISO 27010 veröffentlicht.

Warum ist ISO 27010 wichtig?

Informationsaustausch, wie Bedrohungsanalyse, hat seine eigenen einzigartigen Nachteile und wirft mehrere Probleme auf. Beispielsweise kann es sein, dass Organisationen am Ende über rohe, nicht bewertete Daten verfügen Informationen, die die Sicherheit von Organisationen zusätzlich belasten Team, indem es die Anzahl der Vorfälle und Warnungen erhöht, anstatt sie zu minimieren. Außerdem verabscheuen einige Sicherheitsanbieter die Weitergabe von Daten, um ihren Wettbewerbsvorteil nicht zu beeinträchtigen.

Einige dieser Probleme werden in der Normenreihe ISO/IEC 27000 erörtert. Alle Organisationen werden ermutigt, ihre Risiken zu bewerten und sie dann entsprechend ihren Bedürfnissen zu bewältigen, indem sie Ratschläge und Ratschläge einholen Unterstützung, wo angemessen, und Nutzung von Informationssicherheitskontrollen. ISO/IEC 27010 bietet Kontrollen und Anweisungen zur Einführung, Umsetzung und Aufrechterhaltung der Informationssicherheit in der Kommunikation zwischen Organisationen und Sektoren. Es bietet außerdem Anleitungen und allgemeine Grundsätze zur Erfüllung definierter Anforderungen mithilfe bestehender Messaging- und anderer technischer Methoden.

Der Standard bezieht sich auf alle Formen des Austauschs und der gemeinsamen Nutzung sensibler Informationen, öffentlich und privat, national und global, nicht nur innerhalb oder zwischen der Industrie oder den Geschäftsbereichen. Insbesondere kann es sich auf den Informationsaustausch und die Weitergabe im Zusammenhang mit der Bereitstellung, Erhaltung und dem Schutz wesentlicher Infrastrukturen einer Körperschaft oder eines Nationalstaats beziehen. ISO 27010 wurde entwickelt, um den Vertrauensaufbau beim Austausch und der Weitergabe vertraulicher Informationen zu fördern und erleichtert das internationale Wachstum von Kulturen des Informationsaustauschs.

Wir hatten das Gefühl, wir hätten es getan
das Beste aus beiden Welten. Wir waren
in der Lage, unsere zu nutzen
bestehende Prozesse,
& das Adoptieren, Anpassen
Inhalte gaben uns Neues
Tiefe unseres ISMS.

Andrew Bud
Gründer, iproov

Buchen Sie Ihre Demo

Wir haben angefangen, Tabellenkalkulationen zu verwenden, und es war ein Albtraum. Mit der ISMS.online-Lösung wurde die ganze harte Arbeit erleichtert.
Perry Bowles
Technischer Direktor ZIPTECH
100 % unserer Benutzer bestehen die Zertifizierung beim ersten Mal
Buchen Sie Ihre Demo

Beziehung zu anderen Standards

Die Normenreihe ISO/IEC 27000 bietet Best-Practice-Richtlinien zum Informationssicherheitsmanagement. ISO/IEC 27010:2015 ist eine branchenspezifische Ergänzung zu ISO/IEC 27001:2013 und ISO/IEC 27002:2013 für Communities zum Informationsaustausch. Die in dieser internationalen Norm enthaltenen Richtlinien ergänzen die allgemeinen Leitlinien anderer Mitglieder der ISO/IEC 27000-Normenfamilie und ergänzen diese. Gegebenenfalls können ISO 27006-Zertifizierungsstellen bei der Ausstellung der Zertifizierung auf ISO 27010 zurückgreifen.

Ein Aspekt, in dem ISO 27010 allgemeine Ansätze für Datensicherheitselemente im Prozess der Ausarbeitung und Durchsetzung von Richtlinien und Verfahren definiert. Zusammen mit Schulung und Bewusstsein Initiativen für diejenigen, die am Prozess teilnehmen, und wahrscheinlich unabhängige Bewertungen oder Audits, um die Einhaltung von ISO/IEC 27010 und anderen relevanten ISO27k-Standards zu bestätigen.

ISO 27010, ISO 27001 und ISO 27002

ISO/IEC 27010:2015 ergänzt ISO/IEC 27001:2013 und ISO/IEC 27002:2013 gut. ISO 27010 bietet Ratschläge zum Verständnis der Kriterien von ISO 27001 beim Informationsaustausch zwischen Organisationen. Es bietet außerdem zusätzliche Sicherheitsmaßnahmen und Anweisungen zum Wissensaustausch, die über die in ISO 27002 enthaltenen hinausgehen.

ISO/IEC 27001:2013 und ISO/IEC 27002:2013 behandeln den Informationsaustausch zwischen Organisationen, jedoch nur allgemein. Angenommen, Organisationen möchten vertrauliche Informationen an mehrere andere Organisationen übermitteln. In diesem Fall müssen die anderen Organisationen dem ursprünglichen Eigentümer versichern, dass sie diese nutzen Informationen würden angemessenen Sicherheitskontrollen unterliegen durch die Empfangsgruppen.

Organisationen können diese Vertraulichkeit erreichen, indem sie eine Community für den Informationsaustausch schaffen, in der jeder Teilnehmer darauf vertraut, dass die anderen die gemeinsam genutzten Informationen schützen, auch wenn Organisationen ansonsten möglicherweise Konkurrenten wären.

ISO 27010 führt in Abschnitt sieben eine neue Kontrolle ein, die eine Reihe von Problemen angeht, die in ISO 27002 nicht explizit behandelt werden, was fast im Gegensatz zu den Standardbedingungen zur Nichtabstreitbarkeit steht. Diese Kontrolle umfasst den Schutz der Quellenanonymität beim Informationsaustausch. Obwohl ISO 27002 für Standard-„Anbieter“-Szenarien geeignet ist, bietet 27010 einige neue Ressourcen für den Umgang mit komplizierteren Situationen.

Laden Sie Ihre Broschüre herunter

Transformieren Sie Ihr bestehendes ISMS

Laden Sie Ihren kostenlosen Leitfaden herunter
um Ihre Infosec zu optimieren

Holen Sie sich Ihren kostenlosen Ratgeber

Finden Sie heraus, wie erschwinglich Ihr ISMS sein könnte
Holen Sie sich Ihr Angebot

Wer kann ISO 27010 umsetzen?

Dieser internationale Standard ist relevant für alle Unternehmen und Organisationen die vertrauliche Informationen öffentlich und privat in allen Branchen austauschen. Dies kann insbesondere für den Informationsaustausch und die Weitergabe im Zusammenhang mit der Bereitstellung, Erhaltung und dem Schutz der wesentlichen Infrastruktur einer Körperschaft oder eines Nationalstaats gelten. Dies ist auf die Standards zurückzuführen, die den Aufbau von Vertrauen beim Austausch und der Weitergabe privater Informationen fördern.

Es ist für jedes Unternehmen erforderlich, das durch ein geschützte Tools zum Informationsaustausch bereitstellt oder nutzt Informationssicherheits-Managementsystem (ISMS). Es kann auch für große Organisationen mit geografisch verteilten Funktionen von Vorteil sein, Informationen über Abteilungen oder Standorte hinweg auszutauschen.

Erste Schritte mit dem Informationsaustausch

Ohne Vertrauen kann eine Community zum Informationsaustausch nicht funktionieren. Wer Informationen bereitstellt, muss darauf vertrauen, dass der Empfänger die Daten nicht preisgibt oder missbräuchlich verarbeitet. Diejenigen, die Daten erhalten, müssen darauf vertrauen, dass die Daten korrekt sind, vorbehaltlich etwaiger vom Urheber mitgeteilter Anforderungen. Beide Aspekte sind entscheidend. Nach ISO 27010 müssen Communities für den Informationsaustausch erfolgreiche Sicherheitsrichtlinien nachweisen und bewährte Verfahren müssen unterstützt werden. Dazu müssen alle Gruppenmitglieder eine Zusammenarbeit eingehen Managementsystem, das die Sicherheit der gemeinsam genutzten Informationen abdeckt. Dieses System sollte vorzugsweise ein ISMS sein.

Der Informationsaustausch kann zwischen Gruppen stattfinden, bei denen der Teilende nicht alle Empfänger kennt. Der Informationsaustausch auf diese Weise wird nur funktionieren, wenn die Gemeinschaften über ausreichendes Vertrauen und Vereinbarungen zum Informationsaustausch verfügen. Dies ist besonders relevant für den Austausch vertraulicher Informationen zwischen verschiedenen Gemeinschaften, beispielsweise verschiedenen Branchen oder Marktsektoren.

Ein Szenario, in dem Informationen weitergegeben werden, ist der Fall einer Datenschutzverletzung. Potenzial teilen Informationsschwachstellen und Sicherheitsbedenken veranschaulichen die vielfältigen Probleme und Vorteile, die mit dem Austausch von Informationen verbunden sind. Dieser Informationsaustausch findet meist unter extremem Zeitdruck und in einer chaotischen Atmosphäre statt – nicht das günstigste Umfeld, um vertrauensvolle Arbeitsbeziehungen aufzubauen und sich auf angemessene Sicherheitskontrollen zu einigen. Das Risiko des Teilens Informationen zu Sicherheitsvorfällen zwischen verschiedenen Einheiten hängt von den Einzelheiten der jeweiligen Situation ab. Bei sicherer Vorgehensweise kann die Weitergabe dieser Informationen jedoch verhindern, dass andere Organisationen auf die gleichen Probleme stoßen.

ISMS.online macht die Einrichtung und Verwaltung Ihres ISMS so einfach wie möglich.

Peter Risdon
CISO, Lebenswichtig

Buchen Sie Ihre Demo

Finden Sie ISO 27001 verwirrend?
Sprechen Sie mit einem Spezialisten

Anforderungen der ISO/IEC 27010:2015

ISO 27010 besteht aus 18 Abschnitten und 4 Anhängen.

Klausel 1: Geltungsbereich

Abschnitt 2: Normative Verweise

Klausel 3: Begriffe und Definitionen

Abschnitt 4: Konzepte und Begründung

  • 4.1 Beidhändige Rückhand: Einleitung
  • 4.2 Gemeinschaften zum Informationsaustausch
  • 4.3 Community-Management
  • 4.4 Unterstützende Einrichtungen
  • 4.5 Branchenübergreifende Kommunikation
  • 4.6 Konformität
  • 4.7 Kommunikationsmodell

Klausel 5: Richtlinien zur Informationssicherheit

  • 5.1 Managementanweisung für Informationssicherheit

Abschnitt 6: Organisation der Informationssicherheit

Klausel 7: Sicherheit der Humanressourcen

  • 7.1 Vor der Anstellung
  • 7.2 Während der Beschäftigung
  • 7.3 Beendigung und Änderung des Arbeitsverhältnisses

Klausel 8: Vermögensverwaltung

  • 8.1 Verantwortung für Vermögenswerte
  • 8.2 Informationsklassifizierung
  • 8.3 Umgang mit Medien
  • 8.4 Schutz des Informationsaustauschs

Klausel 9: Zugangskontrolle

Klausel 10: Kryptographie

  • 10.1 Kryptografische Kontrolle

Klausel 11: Physische und Umweltsicherheit

Klausel 12: Betriebssicherheit

  • 12.1 Betriebsabläufe und Verantwortlichkeiten
  • 12.2 Schutz vor Schadsoftware
  • NIE sichern
  • 12.4 Protokollierung und Überwachung
  • 12.5 Steuerung der Betriebssoftware
  • 12.6 Technisches Schwachstellenmanagement
  • 12.7 Überlegungen zur Prüfung von Informationssystemen

Klausel 13: Kommunikationssicherheit

  • 13.1 Netzwerksicherheitsmanagement
  • 13.2 Informationsübermittlung

Klausel 14: Erwerb, Entwicklung und Wartung des Systems

Klausel 15: Lieferantenbeziehungen

  • 15.1 Informationssicherheit in Lieferantenbeziehungen
  • 15.2 Management der Lieferantendienstleistung

Klausel 16: Management von Informationssicherheitsvorfällen

  • 16.1 Management von Informationssicherheitsvorfällen und Verbesserungen

Abschnitt 17: Informationssicherheitsaspekte des Geschäftskontinuitätsmanagements

  • 17.1 Kontinuität der Informationssicherheit
  • 17.2 Entlassungen

Klausel 18: Compliance

  • 18.1 Einhaltung gesetzlicher und vertraglicher Anforderungen
  • 18.2 Überprüfungen der Informationssicherheit

Anhangsklauseln der ISO/IEC 27010:2015

Anhang A: Weitergabe sensibler Informationen

  • A.1 Einführung
  • A.2 Herausforderungen
  • A.3 Mögliche Vorteile
  • A.4 Anwendbarkeit
  • A.5 Definition und Betrieb einer Community zum Informationsaustausch
  • A.6 Vereinbarungen zum Informationsaustausch
  • A.7 Erfolgsfaktoren
  • A.8 Geltungsbereich des ISMS für eine Community zum Informationsaustausch

Anhang B: Vertrauen beim Informationsaustausch schaffen

  • B.1 Vertrauenserklärung
  • B.2 Technologische Unterstützung
  • B.3 Beurteilung der Vertrauenswürdigkeit von Informationen

Anhang C: Das Ampelprotokoll

Anhang D: Modelle für die Organisation einer Community zum Informationsaustausch

  • D.1 Einführung
  • D.2 Vertrauenswürdige Informationskommunikationsunternehmen
  • D.3 Warn-, Hinweis- und Meldepunkte

Entdecken Sie andere Standards innerhalb der ISO 27k-Familie

  • 1Die ISO 27000-Familie
  • 2ISO 27002
  • 3ISO 27003
  • 4ISO 27004
  • 5ISO 27005
  • 6ISO 27008
  • 7ISO 27009
  • 8ISO 27010
  • 9ISO 27014
  • 11ISO 27013
  • 12ISO 27016
  • 13ISO 27017
  • 14ISO 27018
  • 15ISO 27019
  • 16ISO 27038
  • 17ISO 27039
  • 18ISO 27040
  • 19ISO 27050
  • 20ISO 27102

« ISO 27009

ISO 27014 »

Sehen Sie unsere Plattform in Aktion
Buchen Sie Ihre Demo

ISMS.online unterstützt jetzt ISO 42001 – das weltweit erste KI-Managementsystem. Klicken Sie hier, um mehr zu erfahren