ISO27001 vs. IT-Grundschutz: Unterschied zwischen den Versionen
Aus ISMS-Ratgeber WiKi
Zur Navigation springenZur Suche springen
Dirk (Diskussion | Beiträge) (Die Seite wurde neu angelegt: „ {{Vorlage:Entwurf}} {{#seo: |title=ISO/IEC 27001 und BSI IT-Grundschutz im Vergleich |keywords=ISMS,Informationssicherheit,Grundlagen,WiKi,ISO/IEC 27001,ISO 27001,BSI,IT-Grundschutz,vergleich |description=ISO/IEC 27001 bietet internationales, detailliertes ISMS; BSI IT-Grundschutz ist flexibel, modular, in Deutschland bekannt. Beide bieten hohe Sicherheit, unterscheiden sich in Flexibilität und Zielgruppen. }} == Einleitung == == ISO 27001 und BSI IT-G…“) |
Dirk (Diskussion | Beiträge) |
||
| Zeile 94: | Zeile 94: | ||
|Anwendungsbereich des ISMS | |Anwendungsbereich des ISMS | ||
|A 4.3 | |A 4.3 | ||
|Leitlinie Informationssicherheit | |[[Informationssicherheitsleitlinie|Leitlinie Informationssicherheit]] | ||
|ISMS.1.A3 | |ISMS.1.A3 | ||
|- | |- | ||
|Leitlinie Informationssicherheit | |Leitlinie Informationssicherheit | ||
|A 5.2, A 6.2 | |A 5.2, A 6.2 | ||
|Leitlinie Informationssicherheit | |[[Informationssicherheitsleitlinie|Leitlinie Informationssicherheit]] | ||
|ISMS.1.A3 | |ISMS.1.A3 | ||
|- | |- | ||
|Risikobewertungs- und Risikobehandlungsmethodik | |Risikobewertungs- und Risikobehandlungsmethodik | ||
|A 6.1.2 | |A 6.1.2 | ||
|Richtlinie zur Risikoanalyse | |[[RiLi-Risikoanalyse|Richtlinie zur Risikoanalyse]] | ||
|BSI 200-1 Kap.8.1 Auswahl einer Methode zur Risikoanalyse | |BSI 200-1 Kap.8.1 Auswahl einer Methode zur Risikoanalyse | ||
Referenzdokumente Kap.2.1 Kap.2.6 und A.6 | Referenzdokumente Kap.2.1 Kap.2.6 und A.6 | ||
| Zeile 110: | Zeile 110: | ||
|Anwendbarkeitserklärung | |Anwendbarkeitserklärung | ||
|A 6.1.3 d | |A 6.1.3 d | ||
|Sicherheitskonzept /Strukturanalyse | |Sicherheitskonzept /[[Strukturanalyse]] | ||
(Organisation des ISMS) | (Organisation des ISMS) | ||
|ISMS.1.A7 | |ISMS.1.A7 | ||
| Zeile 116: | Zeile 116: | ||
|Risikobehandlungsplan | |Risikobehandlungsplan | ||
|A 6.1.3 e, A 6.2 | |A 6.1.3 e, A 6.2 | ||
|Richtlinie zur Risikoanalyse | |[[RiLi-Risikoanalyse|Richtlinie zur Risikoanalyse]] | ||
| | | | ||
|- | |- | ||
| Zeile 136: | Zeile 136: | ||
|Verzeichnis der Assets | |Verzeichnis der Assets | ||
|A 8.1.1 | |A 8.1.1 | ||
| | |[[Strukturanalyse]] | ||
| | | | ||
|- | |- | ||
| Zeile 161: | Zeile 161: | ||
|internes Audit-Programm und Ergebnisaufzeichnungen | |internes Audit-Programm und Ergebnisaufzeichnungen | ||
|A 9.2 | |A 9.2 | ||
| | |[[RiLi-KVP|Richtlinie zur Lenkung von Korrektur- und Vorbeugungsmaßnahmen]] | ||
| | | | ||
|- | |- | ||
|Ergebnisse | |Ergebnisse aus Managementbewertungen | ||
|A 9.3 | |A 9.3 | ||
| | | | ||
| Zeile 176: | Zeile 176: | ||
|Richtlinie für die Verwendung von kryptographischen Algorithmen | |Richtlinie für die Verwendung von kryptographischen Algorithmen | ||
|A 10.1.1 | |A 10.1.1 | ||
| | |Richtlinie Kryptographie | ||
| | | | ||
|- | |- | ||
| Zeile 186: | Zeile 186: | ||
|Aktivitätsprotokolle und deren regelmäßig Auswertung | |Aktivitätsprotokolle und deren regelmäßig Auswertung | ||
|A 12.4.1 und A 12.4.3 | |A 12.4.1 und A 12.4.3 | ||
| | |[[RiLi-Protokollierung|Richtlinie Protokollierung]] | ||
| | | | ||
|- | |- | ||
| Zeile 201: | Zeile 201: | ||
|Sicherheitsvorfall Management | |Sicherheitsvorfall Management | ||
|A 16.1.5 | |A 16.1.5 | ||
| | |[[RiLi-Sicherheitsvorfallmanagement|Richtlinie Sicherheitsvorfallmanagement]] | ||
| | | | ||
|- | |- | ||
|Verfahren | |Verfahren für betriebliche Kontinuität BCM | ||
|A 17.1.2 | |A 17.1.2 | ||
| | |[[RiLi-Notfallmanagement (BCM)|Richtlinie Notfallmanagement (BCM)]] | ||
| | | | ||
|- | |- | ||
Version vom 14. Juli 2024, 15:35 Uhr
|
Diese Seite ist derzeit noch ein Entwurf. Weitere Informationen sowie Diskussionen über Änderungen an diesem Entwurf gibt es evtl. auf der Diskussion-Seite. |
Einleitung
ISO 27001 und BSI IT-Grundschutz im Vergleich
Diese Tabelle soll dir einen Überblick über die wichtigsten Unterschiede und Gemeinsamkeiten zwischen ISO/IEC 27001 und dem BSI IT-Grundschutz geben. Beide Standards haben ihre Stärken und sind je nach Organisation und Anforderungen unterschiedlich geeignet.
| Merkmal | ISO/IEC 27001 | BSI IT-Grundschutz |
|---|---|---|
| Verfügbarkeit | International verfügbar und anerkannt. | Primär in Deutschland anerkannt |
| Quellen | Der Standard ist beim Beuth Verlag kostenpflichtig zu erwerben | Die BSI Standards und alle Hilfsmittel sind kostenlos auf der Webseite des BSI zum download erhältlich |
| Anwendbarkeit | Für alle Organisationen weltweit | Schwerpunkt auf deutsche Organisationen und Behörden |
| Bekanntheit/Anerkennung | Weit verbreitet und international anerkannt | National in Deutschland sehr bekannt |
| Aufwand für die Umsetzung | Hoch, da spezifische Kontrollen definiert und dokumentiert werden müssen | Variiert, kann durch Bausteine und Vorgehensweise flexibel angepasst werden (Basis-, Standard- und Kernabsicherung) |
| Praktische Anwendbarkeit | Sehr spezifisch und detailliert | Flexibel und modular durch Bausteine und Vorgehnsweise |
| Nötiges Wissen | Erfordert tiefgehendes Wissen über Informationssicherheits-Managementsysteme (ISMS) und Risikoanalysen | Erfordert spezifisches Wissen über IT-Grundschutz-Kataloge, ansonsten durch eine geführte Vorgehensweise bei insgesamt etwas höherem Aufwand vergleichsweise einfach Anwendbar |
| Grad der erreichbaren Informationssicherheit | Sehr hoch, da umfassend und detailliert | Sehr hoch, durch detaillierte Bausteine und Umsetzungsempfehlungen |
| Erfüllung rechtlicher Rahmenbedingungen | International anerkannte Norm, erfüllt globale Compliance-Anforderungen | Erfüllt vor allem deutsche gesetzliche Anforderungen und Standards und grundsätzlich auch die Anforderungen der ISO/IEC 27001 |
| Zielgruppen | Alle Branchen und Unternehmensgrößen | Primär deutsche Unternehmen und Behörden |
| Unternehmensgrößen | Geeignet für alle Größen, jedoch oft bei größeren Organisationen eingesetzt | Geeignet für alle Größen, aber besonders für mittlere und große Organisationen |
| Flexibilität der Implementierung | Weniger flexibel, strikt nach Norm, etwas flexibler im Zuschnitt des Scope | Sehr flexibel, durch Bausteine anpassbar und währbare Iterative Vorgehensweise |
| Struktur | Managementsystem-orientiert | Baustein-orientiert, modular |
| Zertifizierung | International durch akkreditierte Zertifizierungsstellen möglich | National durch akkreditierte Stellen und BSI möglich. Leichter Einstieg durch ein Basis-Testat. |
| Fokus | Managementprozesse und kontinuierliche Verbesserung | Konkrete Anorderungen und Maßnahmen |
| Kosten | Tendenziell höher, da externe Beratung und Zertifizierung häufig nötig | Variiert je nach Vorgehensmodell, kann durch interne Ressourcen umgesetzt werden, bei Zertifizierung vergleichbare Beratungs- und Zertifizierungskosten. |
Vergleich der Anforderungen
Für den Vergleich und die Zuordnung der Anforderungen der ISO/IEC 27001 und des BSI IT-Grundschutz hat das BSI ein Dokument erstellt:
Zuordnungstabelle ISO zum IT-Grundschutz
Vergleich der Dokumentationsaufwände
| Dokumentation ISO | Anforderung ISO |
Dokumentation Grundschutz | Anforderung GS |
|---|---|---|---|
| Anwendungsbereich des ISMS | A 4.3 | Leitlinie Informationssicherheit | ISMS.1.A3 |
| Leitlinie Informationssicherheit | A 5.2, A 6.2 | Leitlinie Informationssicherheit | ISMS.1.A3 |
| Risikobewertungs- und Risikobehandlungsmethodik | A 6.1.2 | Richtlinie zur Risikoanalyse | BSI 200-1 Kap.8.1 Auswahl einer Methode zur Risikoanalyse
Referenzdokumente Kap.2.1 Kap.2.6 und A.6 |
| Anwendbarkeitserklärung | A 6.1.3 d | Sicherheitskonzept /Strukturanalyse
(Organisation des ISMS) |
ISMS.1.A7 |
| Risikobehandlungsplan | A 6.1.3 e, A 6.2 | Richtlinie zur Risikoanalyse | |
| Definition der Sicherheitsrollen und Verantwortlichkeiten | Abschnitte A 7.1.2 und A 13.2.4 | ||
| Aufzeichnungen über Schulungen, Fähigkeiten, Erfahrung und Qualifikationen | A 7.2 | ||
| Sicherheitsrollen und Verantwortlichkeiten | A 7.2.1 | ||
| Verzeichnis der Assets | A 8.1.1 | Strukturanalyse | |
| Regelung zur Nutzung von Assets | A 8.1.3 | ||
| Risikobewertungsbericht | A 8.2 | ||
| Überwachungs- und Messergebnisse | A 9.1 | ||
| Richtlinie für Zugriffskontrolle | A 9.1.1 | ||
| internes Audit-Programm und Ergebnisaufzeichnungen | A 9.2 | Richtlinie zur Lenkung von Korrektur- und Vorbeugungsmaßnahmen | |
| Ergebnisse aus Managementbewertungen | A 9.3 | ||
| Ergebnisse von Korrekturmaßnahmen | A 10.1 | ||
| Richtlinie für die Verwendung von kryptographischen Algorithmen | A 10.1.1 | Richtlinie Kryptographie | |
| Betriebsprozesse für das IT-Management | A 12.1.1 | ||
| Aktivitätsprotokolle und deren regelmäßig Auswertung | A 12.4.1 und A 12.4.3 | Richtlinie Protokollierung | |
| Prinzipien des sicheren Systembetriebs | A 14.2.5 | ||
| Sicherheitsrichtlinie für Lieferanten | A 15.1.1 | ||
| Sicherheitsvorfall Management | A 16.1.5 | Richtlinie Sicherheitsvorfallmanagement | |
| Verfahren für betriebliche Kontinuität BCM | A 17.1.2 | Richtlinie Notfallmanagement (BCM) | |
| Gesetzliche, behördliche und vertragliche Anforderungen | Abschnitt A 18.1.1 |
