ISO/IEC 27001:2013 Information Security Management Standards

ISO/IEC 27001 – Übersicht

Die International Organization for Standardization (ISO) ist eine unabhängige Nichtregierungsorganisation und der weltweit größte Entwickler von freiwilligen internationalen Standards. Die International Electrotechnical Commission (IEC) ist die weltweit führende Organisation für die Vorbereitung und Veröffentlichung von internationalen Standards für elektrische, elektronische und damit verbundene Technologien.

Die vom gemeinsamen ISO/IEC-Unterausschuss herausgegebene ISO/IEC 27000-Standardfamilie beschreibt Hunderte von Kontrollen und Kontrollmechanismen, die Organisationen aller Arten und Größen dabei unterstützen, Informationsbestände sicher vorzuhalten. Diese globalen Standards stellen einen Rahmen für Richtlinien und Verfahren bereit, die alle gesetzlichen, physischen und technischen Kontrollen umfassen, welche an den Prozessen zum Informationsrisikomanagement einer Organisation beteiligt sind.

ISO/IEC 27001 ist ein Sicherheitsstandard, der ein Information Security Management System (ISMS) formal spezifiziert, das die Informationssicherheit unter ausdrückliche Verwaltungskontrolle bringen soll. Als formale Spezifikation gibt er Anforderungen vor, die definieren, wie das ISMS zu installieren, zu überwachen, zu pflegen und laufend zu verbessern ist. Außerdem werden eine Reihe von Best Practices vorgeschrieben, die Anforderungen im Hinblick auf Dokumentation, Zuständigkeitsbereiche, Verfügbarkeit, Zugriffssteuerung, Sicherheit, Prüfung und Abhilfe- und Präventivmaßnahmen umfassen. Die Zertifizierung nach ISO/IEC 27001 hilft Organisationen dabei, zahlreiche regulatorische und gesetzliche Anforderungen in Bezug auf die Informationssicherheit einzuhalten.

Microsoft und ISO/IEC 27001

Vor allem aufgrund der internationalen Akzeptanz und Anwendbarkeit von ISO/IEC 27001 hat Microsoft die Zertifizierung nach diesem Standard zu einer Grundlage für den Ansatz zur Implementierung und Verwaltung der Informationssicherheit erhoben. Die Tatsache, dass Microsoft eine Zertifizierung nach ISO/IEC 27001 erreicht hat, unterstreicht seine Verpflichtung, die Kundenversprechen aus Unternehmens- und Sicherheitscompliancesicht zu erfüllen. Derzeit werden sowohl Azure Public als auch Azure Deutschland einmal pro Jahr im Hinblick auf Compliance mit ISO/IEC 27001 von einer dritten, akkreditierten Zertifizierungsstelle überprüft. Diese Zertifizierungsstelle führt eine unabhängige Überprüfung durch, dass Microsoft die Sicherheitskontrollen eingeführt hat und diese effizient funktionieren.

Weitere Informationen über die Vorteile von ISO/IEC-27001 für Microsoft Cloud: ISO/IEC 27001:2013 herunterladen

Eingeschlossene Cloudplattformen und -dienste von Microsoft

  • Azure, Azure Government und Azure Deutschland
  • Azure DevOps Services
  • Microsoft Cloud App Security
  • Microsoft Defender für Endpunkt
  • Dynamics 365, Dynamics 365 Government und Dynamics 365 Deutschland
  • Microsoft Graph
  • Microsoft Healthcare Bot
  • Intune
  • Microsoft Managed Desktop
  • Power Automate-Clouddienst (ehemals Microsoft Flow) als eigenständiger Dienst oder in einem Office 365- oder Dynamics 365-Plan bzw. -Anwendungssuite enthalten
  • Office 365, Office 365 U.S. Government und Office 365 U.S. Government Defense
  • Office 365 Deutschland
  • OMS Service Map
  • PowerApps-Clouddienst als eigenständiger Dienst oder in einem firmenspezifischen Office 365- oder Dynamics 365-Plan oder einer -Anwendungssuite enthalten
  • Power BI-Clouddienst als eigenständiger Dienst oder in einem firmenspezifischen Office 365-Plan oder einer -Anwendungssuite enthalten
  • Power BI Embedded
  • Power Virtual Agents
  • Microsoft Professional Services
  • Microsoft Stream
  • Microsoft-Bedrohungsexperten
  • Microsoft Translator
  • Windows 365

Azure, Dynamics 365 und ISO 27001

Weitere Informationen zur Compliance mit Azure, Dynamics 365 und anderen Onlinediensten finden Sie im Azure ISO 27001:2013-Angebot.

Office 365 und ISO 27001

Office 365-Cloudumgebungen

Microsoft Office 365 ist eine mehrinstanzenfähige Hyperscale-Cloudplattform und eine integrierte Oberfläche für Apps und Dienste, die Kunden in mehreren Regionen weltweit zur Verfügung steht. Die meisten Office 365-Dienste ermöglichen es Kunden, die Region anzugeben, in der sich ihre Kundendaten befinden. Microsoft kann Kundendaten aus Gründen der Datenresilienz in andere Regionen innerhalb desselben geografischen Gebiets (z. B. die USA) replizieren, Microsoft repliziert jedoch keine Kundendaten außerhalb des ausgewählten geografischen Bereichs.

In diesem Abschnitt werden die folgenden Office 365-Cloudumgebungen behandelt:

  • Clientsoftware (Client): Kommerzielle Clientsoftware, die auf Kundengeräten ausgeführt wird.
  • Office 365 (Kommerziell): Der kommerzielle öffentliche Office 365-Clouddienst, der global verfügbar ist.
  • Office 365 Government Community Cloud (GCC): Der Office 365 GCC-Clouddienst ist für Bundes-, Landes-, Kommunal- und Stammesregierungen der Vereinigten Staaten sowie für Auftragnehmer verfügbar, die Daten im Auftrag der US-Regierung speichern oder verarbeiten.
  • Office 365 Government Community Cloud – High (GCC High): Der Office 365 GCC-High-Clouddienst wurde gemäß den Sicherheitsanforderungen der Richtlinien des Verteidigungsministeriums (DoD) Level 4 entwickelt und unterstützt streng regulierte Bundes- und Verteidigungsinformationen. Diese Umgebung wird von Bundesbehörden, der Defense Industrial Base (DIBs) und staatlichen Auftragnehmern verwendet.
  • Office 365 DoD (DoD): Der Office 365 DoD-Clouddienst wurde gemäß den DoD-Sicherheitsanforderungen der Stufe 5 entwickelt und unterstützt strenge Bundes- und Verteidigungsvorschriften. Diese Umgebung ist für die ausschließliche Verwendung durch das US-Verteidigungsministerium bestimmt.

Verwenden Sie diesen Abschnitt, um Ihre Complianceverpflichtungen in regulierten Branchen und globalen Märkten zu erfüllen. Informationen dazu, welche Dienste in welchen Regionen verfügbar sind, finden Sie in den Informationen zur internationalen Verfügbarkeit und im Artikel Wo Ihre Microsoft 365 Kundendaten gespeichert werden. Weitere Informationen zur Office 365 Government-Cloudumgebung finden Sie im Artikel Office 365 Government-Cloud.

Ihre Organisation ist vollständig dafür verantwortlich, die Einhaltung aller geltenden Gesetze und Bestimmungen sicherzustellen. Die in diesem Abschnitt bereitgestellten Informationen stellen keine rechtliche Beratung dar und Sie sollten sich bei Fragen zur Einhaltung gesetzlicher Bestimmungen für Ihre Organisation an Rechtsberater wenden.

Office 365-Anwendbarkeit und im Leistungsumfang enthaltene Dienste

Verwenden Sie die folgende Tabelle, um die Anwendbarkeit für Ihre Office 365-Dienste und -Abonnements zu bestimmen:

Anwendbarkeit Im Leistungsumfang enthaltene Dienste
Kommerziell Access Online, Azure Active Directory, Azure Communications Service, Compliance-Manager, Kunden-Lockbox, Delve, Exchange Online, Exchange Online Protection, Forms, Griffin, Identity Manager, Lockbox (Torus), Microsoft Defender für Office 365, Microsoft Teams, MyAnalytics, Office 365 Advanced Compliance-Add-On, Office 365-Kundenportal, Office 365-Microservices (einschließlich, aber nicht beschränkt auf Kaizala, ObjectStore, Sway, PowerPoint Online-Dokumentdienst, Abfrage-Anmerkungsdienst, School Data Sync, Siphon, Speech, StaffHub, eXtensible-Anwendungsprogramm), Office 365 Security & Compliance Center, Office Online, Office Pro Plus, Office Services-Infrastruktur, OneDrive for Business, Planner, PowerApps, Power BI, Project Online, Dienstverschlüsselung mit Kundenschlüssel, SharePoint Online, Skype for Business, Stream
GCC Azure Active Directory, Azure Communications Service, Compliance-Manager, Delve, Exchange Online, Forms, Microsoft Defender für Office 365, Microsoft Teams, MyAnalytics, Office 365 Advanced Compliance-Add-On, Office 365 Security & Compliance Center, Office Online, Office Pro Plus, OneDrive for Business, Planner, PowerApps, Power Automate, Power BI, SharePoint Online, Skype for Business, Stream
GCC Hoch Azure Active Directory, Azure Communications Service, Exchange Online, Forms, Microsoft Defender für Office 365, Microsoft Teams, Office 365 Advanced Compliance-Add-On, Office 365 Security & Compliance Center, Office Online, Office Pro Plus, OneDrive for Business, Planner, PowerApps, Power Automate, Power BI, SharePoint Online, Skype for Business
DoD Azure Active Directory, Azure Communications Service, Exchange Online, Forms, Microsoft Defender für Office 365, Microsoft Teams, Office 365 Advanced Compliance-Add-On, Office 365 Security & Compliance Center, Office Online, Office Pro Plus, OneDrive for Business, Planner, Power BI, SharePoint Online, Skype for Business

Office 365-Prüfungen, -Berichte und -Zertifikate

Office 365-Clouddienste werden mindestens einmal jährlich anhand des Standards ISO 27001:2013 überprüft.

Office 365-Bewertungen und -Berichte

Häufig gestellte Fragen

Warum ist die Office 365-Compliance mit ISO/IEC 27001 wichtig?

Compliance mit diesen Standards, die durch einen akkreditierten Prüfer bestätigt wird, beweist, dass Microsoft international anerkannte Prozesse und Best Practices verwendet, um die Infrastruktur und die Organisation zur Unterstützung und Bereitstellung seiner Dienste zu verwalten. Das Zertifikat bestätigt, dass Microsoft die Richtlinien und allgemeinen Prinzipien zum Initiieren, Einführen, Pflegen und Verbessern der Informationssicherheitsverwaltung implementiert hat.

Wo erhalte ich die ISO/IEC 27001-Prüfberichte und Bereichserklärungen für Office 365-Dienste?

Das Vertrauensstellungsportal stellt unabhängig geprüfte Complianceberichte zur Verfügung. Sie können über das Portal Berichte anfordern, sodass Ihre Prüfer die Ergebnisse der Clouddienste von Microsoft mit Ihren eigenen gesetzlichen und regulatorischen Anforderungen vergleichen können.

Werden jährliche Tests für Office 365-Infrastrukturfehler ausgeführt?

Ja. Der jährliche Zertifizierungsprozess nach ISO/IEC 27001 für die Microsoft Cloud Infrastructure and Operations-Gruppe umfasst eine Überprüfung der Ausfallsicherheit im Betrieb. Um das neueste Zertifikat anzuzeigen, wählen Sie den Link unten aus.

Wo beginne ich mit dem Complianceprozess im Hinblick auf ISO/IEC 27001 für meine eigene Organisation?

Die Übernahme von ISO/IEC 27001 ist eine strategische Verpflichtung. Ein guter Ausgangspunkt ist die ISO/IEC 27000-Reihe.

Kann ich die ISO/IEC 27001-Compliance von Office 365-Diensten für den Zertifizierungsprozess meiner Organisation verwenden?

Ja. Wenn Ihr Unternehmen eine Zertifizierung nach ISO/IEC 27001 für Installationen benötigt, die in Microsoft-Diensten bereitgestellt werden, können Sie die entsprechende Zertifizierung für Ihre Compliancebewertung verwenden. Sie sind jedoch dafür verantwortlich, einen Auditor mit der Prüfung der Kontrollen und Prozesse in Ihrer eigenen Organisation und Ihrer Implementierung im Hinblick auf ISO/IEC 27001-Compliance zu beauftragen.

Verwenden von Microsoft Compliance-Manager zur Einschätzung des Risikos

Microsoft Compliance Manager ist eine Funktion im Microsoft 365 Compliance Center, die Ihnen hilft, die Compliance-Position Ihres Unternehmens zu verstehen und Maßnahmen zu ergreifen, um Risiken zu reduzieren. Der Compliance Manager verfügt über eine vorgefertigte Bewertung für diese Vorschrift für Enterprise E5-Kunden. Die Vorlage für die Erstellung der Bewertung finden Sie auf der Seite Bewertungsvorlagen im Compliance Manager. Erfahren Sie, wie Sie Bewertungen im Compliance-Manager erstellen.

Ressourcen