ISO 27001 – Kapitel 8
Das achte Kapitel der ISO 27001 beschreibt den Betrieb in drei Unterkapiteln. Jedes dieser Unterkapitel muss dokumentierte Informationen zum Nachweis der Umsetzung und Zielerreichung vorweisen, um die Zertifizierung erlangen zu können:
ISO 27001 – Kapitel 8.1
Im Wesentlichen ist die Forderung des Kapitels 8.1 die betriebliche Planung und Steuerung. Dazu zählt unter anderem, die verschiedenen Informationssicherheits-Prozesse zu planen. Maßnahmen zur Behandlung von Risiken planen, verwirklichen und steuern. Neben der Umsetzung und Steuerung müssen vor allem Änderungen überwacht werden und somit negative Auswirkungen vermieden werden.
ISO 27001 – Kapitel 8.2
Das zweite Unterkapitel befasst sich mit der Informationssicherheits-Risikobeurteilung. Hier zählt zu der Anforderung, dass die Risikobeurteilungen regelmäßig neu durchgeführt werden. Dabei ist es wichtig, dass Kriterien zur Risikoakzeptanz einbezogen werden. Wie bereits erwähnt, ist es im Rahmen einer Zertifizierung notwendig, über diese Schritte dokumentierte Informationen anzufertigen.
ISO 27001 – Kapitel 8.3
Das letzte Unterkapitel des 8. Kapitels der ISO 27001 verlangt, dass die Informationssicherheits-Risikobehandlung durchgeführt werden muss. In dem Kapitel 6, der Planung wurden zu diesem Schritt feste Pläne definiert. Nun müssen diese umgesetzt und die Umsetzung dokumentiert werden.