ISO/IEC 27001:2013 Information Security Management StandardsISO/IEC 27001:2013 Information Security Management Standards

ISO/IEC 27001 – ÜbersichtISO/IEC 27001 overview

Die International Organization for Standardization (ISO) ist eine unabhängige Nichtregierungsorganisation und der weltweit größte Entwickler von freiwilligen internationalen Standards.The International Organization for Standardization (ISO) is an independent nongovernmental organization and the world’s largest developer of voluntary international standards. Die International Electrotechnical Commission (IEC) ist die weltweit führende Organisation für die Vorbereitung und Veröffentlichung von internationalen Standards für elektrische, elektronische und damit verbundene Technologien.The International Electrotechnical Commission (IEC) is the world’s leading organization for the preparation and publication of international standards for electrical, electronic, and related technologies.

Die vom gemeinsamen ISO/IEC-Unterausschuss herausgegebene ISO/IEC 27000-Standardfamilie beschreibt Hunderte von Kontrollen und Kontrollmechanismen, die Organisationen aller Arten und Größen dabei unterstützen, Informationsbestände sicher vorzuhalten.Published under the joint ISO/IEC subcommittee, the ISO/IEC 27000 family of standards outlines hundreds of controls and control mechanisms to help organizations of all types and sizes keep information assets secure. Diese globalen Standards stellen einen Rahmen für Richtlinien und Verfahren bereit, die alle gesetzlichen, physischen und technischen Kontrollen umfassen, welche an den Prozessen zum Informationsrisikomanagement einer Organisation beteiligt sind.These global standards provide a framework for policies and procedures that include all legal, physical, and technical controls involved in an organization’s information risk management processes.

ISO/IEC 27001 ist ein Sicherheitsstandard, der ein Information Security Management System (ISMS) formal spezifiziert, das die Informationssicherheit unter ausdrückliche Verwaltungskontrolle bringen soll.ISO/IEC 27001 is a security standard that formally specifies an Information Security Management System (ISMS) that is intended to bring information security under explicit management control. Als formale Spezifikation gibt er Anforderungen vor, die definieren, wie das ISMS zu installieren, zu überwachen, zu pflegen und laufend zu verbessern ist.As a formal specification, it mandates requirements that define how to implement, monitor, maintain, and continually improve the ISMS. Außerdem werden eine Reihe von Best Practices vorgeschrieben, die Anforderungen im Hinblick auf Dokumentation, Zuständigkeitsbereiche, Verfügbarkeit, Zugriffssteuerung, Sicherheit, Prüfung und Abhilfe- und Präventivmaßnahmen umfassen.It also prescribes a set of best practices that include documentation requirements, divisions of responsibility, availability, access control, security, auditing, and corrective and preventive measures. Die Zertifizierung nach ISO/IEC 27001 hilft Organisationen dabei, zahlreiche regulatorische und gesetzliche Anforderungen in Bezug auf die Informationssicherheit einzuhalten.Certification to ISO/IEC 27001 helps organizations comply with numerous regulatory and legal requirements that relate to the security of information.

Microsoft und ISO/IEC 27001Microsoft and ISO/IEC 27001

Vor allem aufgrund der internationalen Akzeptanz und Anwendbarkeit von ISO/IEC 27001 hat Microsoft die Zertifizierung nach diesem Standard zu einer Grundlage für den Ansatz zur Implementierung und Verwaltung der Informationssicherheit erhoben.The international acceptance and applicability of ISO/IEC 27001 is the key reason why certification to this standard is at the forefront of Microsoft’s approach to implementing and managing information security. Die Tatsache, dass Microsoft eine Zertifizierung nach ISO/IEC 27001 erreicht hat, unterstreicht seine Verpflichtung, die Kundenversprechen aus Unternehmens- und Sicherheitscompliancesicht zu erfüllen.Microsoft’s achievement of ISO/IEC 27001 certification points up its commitment to making good on customer promises from a business, security compliance standpoint. Derzeit werden sowohl Azure Public als auch Azure Deutschland einmal pro Jahr im Hinblick auf Compliance mit ISO/IEC 27001 von einer dritten, akkreditierten Zertifizierungsstelle überprüft. Diese Zertifizierungsstelle führt eine unabhängige Überprüfung durch, dass Microsoft die Sicherheitskontrollen eingeführt hat und diese effizient funktionieren.Currently, both Azure Public and Azure Germany are audited once a year for ISO/IEC 27001 compliance by a third-party accredited certification body, providing independent validation that security controls are in place and operating effectively.

Weitere Informationen über die Vorteile von ISO/IEC-27001 für Microsoft Cloud: ISO/IEC 27001:2013 herunterladenLearn about the benefits of ISO/IEC 27001 on the Microsoft Cloud: Download the ISO/IEC 27001:2013

Microsoft-Clouddienste im LeistungsumfangMicrosoft in-scope cloud services

Audits, Berichte und ZertifikateAudits, reports, and certificates

Prüfzyklus: Microsoft Cloud Services werden mindestens einmal jährlich anhand des Standards ISO 27001:2013 überprüft.Audit cycle: Microsoft cloud services are audited at least annually against the ISO 27001:2013 standard.

AzureAzure

Office 365Office 365

Azure DevOps ServicesAzure DevOps Services

Microsoft Professional ServicesMicrosoft Professional Services

Bewertungen und BerichteAssessments and reports

AzureAzure

Office 365Office 365

Azure DevOps ServicesAzure DevOps Services

Weitere Prüfberichte anzeigenSee additional audit reports

Häufig gestellte FragenFrequently asked questions

Warum ist die Compliance von Microsoft mit ISO/IEC 27001 wichtig?Why is Microsoft compliance with ISO/IEC 27001 important?

Compliance mit diesen Standards, die durch einen akkreditierten Prüfer bestätigt wird, beweist, dass Microsoft international anerkannte Prozesse und Best Practices verwendet, um die Infrastruktur und die Organisation zur Unterstützung und Bereitstellung seiner Dienste zu verwalten.Compliance with these standards, confirmed by an accredited auditor, demonstrates that Microsoft uses internationally recognized processes and best practices to manage the infrastructure and organization that support and deliver its services. Das Zertifikat bestätigt, dass Microsoft die Richtlinien und allgemeinen Prinzipien zum Initiieren, Einführen, Pflegen und Verbessern der Informationssicherheitsverwaltung implementiert hat.The certificate validates that Microsoft has implemented the guidelines and general principles for initiating, implementing, maintaining, and improving the management of information security.

Wo erhalte ich die ISO/IEC 27001-Prüfberichte und Umfangserklärungen für Microsoft-Dienste?Where can I get the ISO/IEC 27001 audit reports and scope statements for Microsoft services?

Das Vertrauensstellungsportal stellt unabhängig geprüfte Complianceberichte zur Verfügung.The Service Trust Portal provides independently audited compliance reports. Sie können über das Portal Berichte anfordern, sodass Ihre Prüfer die Ergebnisse der Clouddienste von Microsoft mit Ihren eigenen gesetzlichen und regulatorischen Anforderungen vergleichen können.You can use the portal to request reports so that your auditors can compare Microsoft's cloud services results with your own legal and regulatory requirements.

Führt Microsoft jährliche Tests auf Infrastrukturfehler durch?Does Microsoft run annual tests for infrastructure failures?

Ja.Yes. Der jährliche Zertifizierungsprozess nach ISO/IEC 27001 für die Microsoft Cloud Infrastructure and Operations-Gruppe umfasst eine Überprüfung der Ausfallsicherheit im Betrieb.The annual ISO/IEC 27001 certification process for the Microsoft Cloud Infrastructure and Operations group includes an audit for operational resiliency. Klicken Sie auf den unten stehenden Link, um das aktuelle Zertifikat in der Vorschau anzuzeigen.To preview the latest certificate, click the link below.

Wo beginne ich mit dem Complianceprozess im Hinblick auf ISO/IEC 27001 für meine eigene Organisation?Where do I start my organization’s own ISO/IEC 27001 compliance effort?

Die Übernahme von ISO/IEC 27001 ist eine strategische Verpflichtung.Adopting ISO/IEC 27001 is a strategic commitment. Ein guter Ausgangspunkt ist die ISO/IEC 27000-Reihe.As a starting point, consult the ISO/IEC 27000 Directory.

Kann ich die ISO/IEC 27001-Compliance von Microsoft-Diensten für den Zertifizierungsprozess meiner Organisation verwenden?Can I use the ISO/IEC 27001 compliance of Microsoft services in my organization’s certification?

Ja.Yes. Wenn Ihr Unternehmen eine Zertifizierung nach ISO/IEC 27001 für Installationen benötigt, die in Microsoft-Diensten bereitgestellt werden, können Sie die entsprechende Zertifizierung für Ihre Compliancebewertung verwenden.If your business requires ISO/IEC 27001 certification for implementations deployed on Microsoft services, you can use the applicable certification in your compliance assessment. Sie sind jedoch dafür verantwortlich, einen Auditor mit der Prüfung der Kontrollen und Prozesse in Ihrer eigenen Organisation und Ihrer Implementierung im Hinblick auf ISO/IEC 27001-Compliance zu beauftragen.You are responsible, however, for engaging an assessor to evaluate the controls and processes within your own organization and your implementation for ISO/IEC 27001 compliance.

Verwenden von Microsoft Compliance-Manager zur Einschätzung des RisikosUse Microsoft Compliance Manager to assess your risk

Microsoft Compliance Manager ist eine Funktion im Microsoft 365 Compliance Center, die Ihnen hilft, die Compliance-Position Ihres Unternehmens zu verstehen und Maßnahmen zu ergreifen, um Risiken zu reduzieren.Microsoft Compliance Manager is a feature in the Microsoft 365 compliance center to help you understand your organization's compliance posture and take actions to help reduce risks. Der Compliance Manager verfügt über eine vorgefertigte Bewertung für diese Vorschrift für Enterprise E5-Kunden.Compliance Manager has a pre-built assessment for this regulation for Enterprise E5 customers. Die Vorlage für die Erstellung der Bewertung finden Sie auf der Seite Bewertungsvorlagen im Compliance Manager.Find the template for building the assessment in the assessment templates page in Compliance Manager. Erfahren Sie, wie Sie Bewertungen im Compliance-Manager erstellen.Learn how to build assessments in Compliance Manager.

RessourcenResources

WhitepaperWhite papers