ISO27001 vs. IT-Grundschutz: Unterschied zwischen den Versionen

Aus ISMS-Ratgeber WiKi
Zur Navigation springenZur Suche springen
KKeine Bearbeitungszusammenfassung
KKeine Bearbeitungszusammenfassung
 
(3 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt)
Zeile 3: Zeile 3:
|keywords=ISMS,Informationssicherheit,Grundlagen,WiKi,ISO/IEC 27001,ISO 27001,BSI,IT-Grundschutz,vergleich
|keywords=ISMS,Informationssicherheit,Grundlagen,WiKi,ISO/IEC 27001,ISO 27001,BSI,IT-Grundschutz,vergleich
|description=ISO/IEC 27001 bietet internationales, detailliertes ISMS; BSI IT-Grundschutz ist flexibel, modular, in Deutschland bekannt. Beide bieten hohe Sicherheit, unterscheiden sich in Flexibilität und Zielgruppen.
|description=ISO/IEC 27001 bietet internationales, detailliertes ISMS; BSI IT-Grundschutz ist flexibel, modular, in Deutschland bekannt. Beide bieten hohe Sicherheit, unterscheiden sich in Flexibilität und Zielgruppen.
}}{{SHORTDESC:ISO/IEC 27001 und BSI IT-Grundschutz im Vergleich.}}
}}{{SHORTDESC:ISO/IEC 27001 und BSI IT-Grundschutz im Vergleich.}}Die ISO/IEC 27001 definiert ein internationales, detailliertes ISMS; BSI IT-Grundschutz ist flexibel, modular, in Deutschland insbesondere bei Behörden bekannt. Beide bieten hohe Sicherheit, unterscheiden sich aber in Flexibilität und Zielgruppen. Diese Seite bietet einen detaillierten Vergleich.
== Einleitung ==


== ISO 27001 und BSI IT-Grundschutz im Vergleich ==
== ISO 27001 und BSI IT-Grundschutz im Vergleich ==
Zeile 87: Zeile 86:
Für den Vergleich und die Zuordnung der Anforderungen der ISO/IEC 27001 und des BSI IT-Grundschutzes hat das BSI ein Dokument erstellt, das die Erfüllung der Anforderungen der ISO/IEC 27001 im Vorgehen nach BSI IT-Grundschutz nachweist:
Für den Vergleich und die Zuordnung der Anforderungen der ISO/IEC 27001 und des BSI IT-Grundschutzes hat das BSI ein Dokument erstellt, das die Erfüllung der Anforderungen der ISO/IEC 27001 im Vorgehen nach BSI IT-Grundschutz nachweist:


[https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Kompendium/Zuordnung_ISO_und_IT_Grundschutz.html Zuordnungstabelle <abbr>ISO</abbr> zum <abbr>IT</abbr>-Grundschutz]
[https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Kompendium/Zuordnung_ISO_und_IT_Grundschutz.html Zuordnungstabelle <abbr>ISO 27001</abbr> zum <abbr>IT</abbr>-Grundschutz]


== Vergleich der Dokumentationsaufwände ==
== Vergleich der Dokumentationsaufwände ==
⚠️''Die Tabelle muss überarbeitet werden (aktuelle ISO 27001)''
{| class="wikitable sortable"
{| class="wikitable sortable"
|+
|+

Aktuelle Version vom 28. August 2024, 17:17 Uhr

Die ISO/IEC 27001 definiert ein internationales, detailliertes ISMS; BSI IT-Grundschutz ist flexibel, modular, in Deutschland insbesondere bei Behörden bekannt. Beide bieten hohe Sicherheit, unterscheiden sich aber in Flexibilität und Zielgruppen. Diese Seite bietet einen detaillierten Vergleich.

ISO 27001 und BSI IT-Grundschutz im Vergleich

Diese Tabelle soll dir einen Überblick über die wichtigsten Unterschiede und Gemeinsamkeiten zwischen ISO/IEC 27001 und dem BSI IT-Grundschutz geben. Beide Standards haben ihre Stärken und sind je nach Organisation und Anforderungen unterschiedlich geeignet.

Merkmal ISO/IEC 27001 BSI IT-Grundschutz
Verfügbarkeit International verfügbar und anerkannt. Primär in Deutschland anerkannt
Quellen Der Standard ist beim Beuth Verlag kostenpflichtig zu erwerben Die BSI Standards und alle Hilfsmittel sind kostenlos auf der Webseite des BSI zum download erhältlich
Anwendbarkeit Für alle Organisationen weltweit Schwerpunkt auf deutsche Organisationen und Behörden
Bekanntheit/Anerkennung Weit verbreitet und international anerkannt National in Deutschland sehr bekannt
Aufwand für die Umsetzung Hoch, da spezifische Kontrollen definiert und dokumentiert werden müssen Variiert, kann durch Bausteine und Vorgehensweise flexibel angepasst werden (Basis-, Standard- und Kernabsicherung)
Praktische Anwendbarkeit Sehr spezifisch und detailliert Flexibel und modular durch Bausteine und Vorgehnsweise
Nötiges Wissen Erfordert tiefgehendes Wissen über Informationssicherheits-Managementsysteme (ISMS) und Risikoanalysen Erfordert spezifisches Wissen über IT-Grundschutz-Kataloge, ansonsten durch eine geführte Vorgehensweise bei insgesamt etwas höherem Aufwand vergleichsweise einfach Anwendbar
Grad der erreichbaren Informationssicherheit Sehr hoch, da umfassend und detailliert Sehr hoch, durch detaillierte Bausteine und Umsetzungsempfehlungen
Erfüllung rechtlicher Rahmenbedingungen International anerkannte Norm, erfüllt globale Compliance-Anforderungen Erfüllt vor allem deutsche gesetzliche Anforderungen und Standards und grundsätzlich auch die Anforderungen der ISO/IEC 27001
Zielgruppen Alle Branchen und Unternehmensgrößen Primär deutsche Unternehmen und Behörden
Unternehmensgrößen Geeignet für alle Größen, jedoch oft bei größeren Organisationen eingesetzt Geeignet für alle Größen, aber besonders für mittlere und große Organisationen
Flexibilität der Implementierung Weniger flexibel, strikt nach Norm, etwas flexibler im Zuschnitt des Scope Sehr flexibel, durch Bausteine anpassbar und währbare Iterative Vorgehensweise
Struktur Managementsystem-orientiert Baustein-orientiert, modular
Zertifizierung International durch akkreditierte Zertifizierungsstellen möglich National durch akkreditierte Stellen und BSI möglich. Leichter Einstieg durch ein Basis-Testat.
Fokus Managementprozesse und kontinuierliche Verbesserung Konkrete Anorderungen und Maßnahmen
Kosten Tendenziell höher, da externe Beratung und Zertifizierung häufig nötig Variiert je nach Vorgehensmodell, kann durch interne Ressourcen umgesetzt werden, bei Zertifizierung vergleichbare Beratungs- und Zertifizierungskosten.

Zusammenfassend unterscheiden sich ISO/IEC 27001 und BSI IT-Grundschutz im Wesentlichen in der praktischen Vorgehensweise. Während man bei der ISO etwas flexibler in der Umsetzung ist, sich aber auch alles über Risikoanalysen selbst erarbeiten muss, bietet der IT-Grundschutz einen eher geführten Ansatz, indem man sein Verbund aus vorgefertigten Bausteinen zusammen modelliert und dann eine Liste mit klaren, teilweise technischen Anforderungen erhält, die abgearbeitet werden müssen. Einfach ausgedrückt:

Bei ISO muss ich mehr denken, bei IT-Grundschutz muss ich mehr machen.

Eine Zertifizierung nach ISO 27001 ist international allgemein anerkannt. Eine Zertifizierung nach BSI IT-Grundschutz heißt wörtlich "ISO 27001-Zertifizierung auf Basis von IT-Grundschutz" und entspricht damit einer ISO 27001-Zertifizierung und wird als gleichwertig anerkannt. Im Behördenbereich in Deutschland wird aufgrund gesetzlicher Vorgaben und aufgrund der meist höheren normativen Anforderungen im IT-Grundschutz das Vorgehen nach BSI IT-Grundschutz und eine entsprechende Zertifizierung gefordert.

Philosophische Unterschiede

Die ISO/IEC27001 ist ein Vorgehensmodell, das sehr stark auf die Zertifizierung ausgerichtet ist, es ist eine klare Norm, bei der es heißt "Ich mach es oder ich lass es", es gibt praktisch keine Zwischenschritte oder Teilziele und keine Priorisierung einzelner Themen. Wer schnell eine Zertifizierung braucht, ist hier gut aufgehoben.

Der BSI IT-Grundschutz ist da flexibler und modularer. Der Anwender wird durch den Grundschutz geführt, es werden Zwischenschritte und verschiedene Vorgehensmodelle angeboten (Basisabsicherung, Standardabsicherung, Kernabsicherung), die Bausteine und Anforderungen sind priorisiert, so dass der Anwender schrittweise vorgehen und sogar Teilziele auditieren lassen kann (Basisabsicherung mit Basistestat).

Vergleich der Anforderungen

Für den Vergleich und die Zuordnung der Anforderungen der ISO/IEC 27001 und des BSI IT-Grundschutzes hat das BSI ein Dokument erstellt, das die Erfüllung der Anforderungen der ISO/IEC 27001 im Vorgehen nach BSI IT-Grundschutz nachweist:

Zuordnungstabelle ISO 27001 zum IT-Grundschutz

Vergleich der Dokumentationsaufwände

⚠️Die Tabelle muss überarbeitet werden (aktuelle ISO 27001)

Dokumentation ISO Anforderung
ISO
Dokumentation Grundschutz Anforderung
GS
Anwendungsbereich des ISMS A 4.3 Leitlinie Informationssicherheit ISMS.1.A3
Leitlinie Informationssicherheit A 5.2

A 6.2

Leitlinie Informationssicherheit ISMS.1.A3
Risikobewertungs- und Risikobehandlungsmethodik A 6.1.2 Richtlinie zur Risikoanalyse BSI 200-1 Kap.8.1 Auswahl einer Methode zur Risikoanalyse

Referenzdokumente Kap.2.1 Kap.2.6 und A.6

Anwendbarkeitserklärung A 6.1.3d Sicherheitskonzept /Strukturanalyse

(Organisation des ISMS)

ISMS.1.A7
Risikobehandlungsplan A 6.1.3e

A 6.2

Richtlinie zur Risikoanalyse
Definition der Sicherheitsrollen und Verantwortlichkeiten A 7.1.2

A 13.2.4

Aufzeichnungen über Schulungen, Fähigkeiten, Erfahrung und Qualifikationen A 7.2 Schulungskonzept

Nachweis der Teilnahme an Fortbildungen

ORP.2.A15
Sicherheitsrollen und Verantwortlichkeiten A 7.2.1
Verzeichnis der Assets A 8.1.1 Strukturanalyse, Modellierung
Regelung zur Nutzung von Assets A 8.1.3 Strukturanalyse, Modellierung
Risikobewertungsbericht A 8.2

A 8.3

Risikoanalyse

Risikobehandlungsplan

Überwachungs- und Messergebnisse A 9.1 Interne Revisionen und Audits DER.3.1.A3, DER.3.1.A5, DER.3.1.A22
Richtlinie für Zugriffskontrolle A 9.1.1
internes Audit-Programm und Ergebnisaufzeichnungen A 9.2 Richtlinie zur Lenkung von Korrektur- und Vorbeugungsmaßnahmen ISMS.1.A11, DER.3.1.A7, DER.3.1.A10, DER.3.1.A22
Ergebnisse aus Managementbewertungen A 9.3 Management Berichte
Ergebnisse von Korrekturmaßnahmen A 10.1
Richtlinie für die Verwendung von kryptographischen Algorithmen A 10.1.1 Richtlinie Kryptographie
Betriebsprozesse für das IT-Management A 12.1.1
Aktivitätsprotokolle und deren regelmäßig Auswertung A 12.4.1

A 12.4.3

Richtlinie Protokollierung
Prinzipien des sicheren Systembetriebs A 14.2.5
Sicherheitsrichtlinie für Lieferanten A 15.1.1
Sicherheitsvorfall Management A 16.1.5 Richtlinie Sicherheitsvorfallmanagement
Verfahren für betriebliche Kontinuität BCM A 17.1.2 Richtlinie Notfallmanagement (BCM)
Gesetzliche, behördliche und vertragliche Anforderungen A 18.1.1