Die internationale Norm ISO/IEC 27011 ist Teil der ISO-27000-Normenreihe und wurde 2008 vom Joint Technical Committee JTC1 der International Organization for Standardization (ISO) und der International Electrotechnical Commission (IEC) veröffentlicht. Sie trägt den offiziellen Titel „Information technology — Security techniques — Information security management guidelines for telecommunications organizations based on ISO/IEC 27002“.

Die ISO 27011 ist als branchenspezifische Ergänzung zur Norm ISO 27001 zu sehen und trägt den besonderen Sicherheitsanforderungen im Telekommunikationsumfeld Rechnung. Dementsprechend ist auch eine Zertifizierung nur nach ISO 27001 möglich. Als Implementierungsleitfaden ist für beide Standards die ISO 27002 heranzuziehen. Mit der Einführung der ISO 27011 haben Telekommunikationsunternehmen die Möglichkeit, ein erforderliches Minimum an Informationssicherheit zu etablieren und so die Vertraulichkeit, Verfügbarkeit und Integrität der verarbeiteten Daten sicherzustellen.

Besondere Bedrohungen und Schwachstellen in Telekommunikationsunternehmen

Telekommunikationsunternehmen verarbeiten täglich große Mengen an Daten von einer Vielzahl an Benutzern. Dazu zählen auch hochschutzbedürftige Informationen, wie etwa Authentifizierungs- oder Geschäftsdaten, deren Sicherheit gewährleistet werden muss.

Zu beachten sind auch die höheren Risiken in diesem Umfeld: Die Wahrscheinlichkeit von Sicherheitsvorfällen, wie etwa Hackerangriffen, ist im Telekommunikationsumfeld deutlich größer als in anderen Bereichen, und häufig sind auch die Folgen schwerwiegender: Durch die stark ausgeprägte Vernetzung führen Störungen einzelner Komponenten oft zu Beeinträchtigungen weiter Teile des Netzwerks. Daraus resultierende Ausfälle ziehen nicht nur Umsatzeinbußen, sondern in vielen Fällen auch Imageschäden nach sich.