ISO27001 vs. IT-Grundschutz
Aus ISMS-Ratgeber WiKi
Zur Navigation springenZur Suche springen
|
Diese Seite ist derzeit noch ein Entwurf. Weitere Informationen sowie Diskussionen über Änderungen an diesem Entwurf gibt es evtl. auf der Diskussion-Seite. |
Einleitung
ISO 27001 und BSI IT-Grundschutz im Vergleich
Diese Tabelle soll dir einen Überblick über die wichtigsten Unterschiede und Gemeinsamkeiten zwischen ISO/IEC 27001 und dem BSI IT-Grundschutz geben. Beide Standards haben ihre Stärken und sind je nach Organisation und Anforderungen unterschiedlich geeignet.
| Merkmal | ISO/IEC 27001 | BSI IT-Grundschutz |
|---|---|---|
| Verfügbarkeit | International verfügbar und anerkannt. | Primär in Deutschland anerkannt |
| Quellen | Der Standard ist beim Beuth Verlag kostenpflichtig zu erwerben | Die BSI Standards und alle Hilfsmittel sind kostenlos auf der Webseite des BSI zum download erhältlich |
| Anwendbarkeit | Für alle Organisationen weltweit | Schwerpunkt auf deutsche Organisationen und Behörden |
| Bekanntheit/Anerkennung | Weit verbreitet und international anerkannt | National in Deutschland sehr bekannt |
| Aufwand für die Umsetzung | Hoch, da spezifische Kontrollen definiert und dokumentiert werden müssen | Variiert, kann durch Bausteine und Vorgehensweise flexibel angepasst werden (Basis-, Standard- und Kernabsicherung) |
| Praktische Anwendbarkeit | Sehr spezifisch und detailliert | Flexibel und modular durch Bausteine und Vorgehnsweise |
| Nötiges Wissen | Erfordert tiefgehendes Wissen über Informationssicherheits-Managementsysteme (ISMS) und Risikoanalysen | Erfordert spezifisches Wissen über IT-Grundschutz-Kataloge, ansonsten durch eine geführte Vorgehensweise bei insgesamt etwas höherem Aufwand vergleichsweise einfach Anwendbar |
| Grad der erreichbaren Informationssicherheit | Sehr hoch, da umfassend und detailliert | Sehr hoch, durch detaillierte Bausteine und Umsetzungsempfehlungen |
| Erfüllung rechtlicher Rahmenbedingungen | International anerkannte Norm, erfüllt globale Compliance-Anforderungen | Erfüllt vor allem deutsche gesetzliche Anforderungen und Standards und grundsätzlich auch die Anforderungen der ISO/IEC 27001 |
| Zielgruppen | Alle Branchen und Unternehmensgrößen | Primär deutsche Unternehmen und Behörden |
| Unternehmensgrößen | Geeignet für alle Größen, jedoch oft bei größeren Organisationen eingesetzt | Geeignet für alle Größen, aber besonders für mittlere und große Organisationen |
| Flexibilität der Implementierung | Weniger flexibel, strikt nach Norm, etwas flexibler im Zuschnitt des Scope | Sehr flexibel, durch Bausteine anpassbar und währbare Iterative Vorgehensweise |
| Struktur | Managementsystem-orientiert | Baustein-orientiert, modular |
| Zertifizierung | International durch akkreditierte Zertifizierungsstellen möglich | National durch akkreditierte Stellen und BSI möglich. Leichter Einstieg durch ein Basis-Testat. |
| Fokus | Managementprozesse und kontinuierliche Verbesserung | Konkrete Anorderungen und Maßnahmen |
| Kosten | Tendenziell höher, da externe Beratung und Zertifizierung häufig nötig | Variiert je nach Vorgehensmodell, kann durch interne Ressourcen umgesetzt werden, bei Zertifizierung vergleichbare Beratungs- und Zertifizierungskosten. |
Vergleich der Anforderungen
Für den Vergleich und die Zuordnung der Anforderungen der ISO/IEC 27001 und des BSI IT-Grundschutz hat das BSI ein Dokument erstellt:
Zuordnungstabelle ISO zum IT-Grundschutz
Vergleich der Dokumentationsaufwände
| Dokumentation ISO | Anforderung ISO |
Dokumentation Grundschutz | Anforderung GS |
|---|---|---|---|
| Anwendungsbereich des ISMS | A 4.3 | Leitlinie Informationssicherheit | ISMS.1.A3 |
| Leitlinie Informationssicherheit | A 5.2, A 6.2 | Leitlinie Informationssicherheit | ISMS.1.A3 |
| Risikobewertungs- und Risikobehandlungsmethodik | A 6.1.2 | Richtlinie zur Risikoanalyse | BSI 200-1 Kap.8.1 Auswahl einer Methode zur Risikoanalyse
Referenzdokumente Kap.2.1 Kap.2.6 und A.6 |
| Anwendbarkeitserklärung | A 6.1.3 d | Sicherheitskonzept /Strukturanalyse
(Organisation des ISMS) |
ISMS.1.A7 |
| Risikobehandlungsplan | A 6.1.3 e, A 6.2 | Richtlinie zur Risikoanalyse | |
| Definition der Sicherheitsrollen und Verantwortlichkeiten | Abschnitte A 7.1.2 und A 13.2.4 | ||
| Aufzeichnungen über Schulungen, Fähigkeiten, Erfahrung und Qualifikationen | A 7.2 | ||
| Sicherheitsrollen und Verantwortlichkeiten | A 7.2.1 | ||
| Verzeichnis der Assets | A 8.1.1 | Strukturanalyse | |
| Regelung zur Nutzung von Assets | A 8.1.3 | ||
| Risikobewertungsbericht | A 8.2 | ||
| Überwachungs- und Messergebnisse | A 9.1 | ||
| Richtlinie für Zugriffskontrolle | A 9.1.1 | ||
| internes Audit-Programm und Ergebnisaufzeichnungen | A 9.2 | Richtlinie zur Lenkung von Korrektur- und Vorbeugungsmaßnahmen | |
| Ergebnisse aus Managementbewertungen | A 9.3 | ||
| Ergebnisse von Korrekturmaßnahmen | A 10.1 | ||
| Richtlinie für die Verwendung von kryptographischen Algorithmen | A 10.1.1 | Richtlinie Kryptographie | |
| Betriebsprozesse für das IT-Management | A 12.1.1 | ||
| Aktivitätsprotokolle und deren regelmäßig Auswertung | A 12.4.1 und A 12.4.3 | Richtlinie Protokollierung | |
| Prinzipien des sicheren Systembetriebs | A 14.2.5 | ||
| Sicherheitsrichtlinie für Lieferanten | A 15.1.1 | ||
| Sicherheitsvorfall Management | A 16.1.5 | Richtlinie Sicherheitsvorfallmanagement | |
| Verfahren für betriebliche Kontinuität BCM | A 17.1.2 | Richtlinie Notfallmanagement (BCM) | |
| Gesetzliche, behördliche und vertragliche Anforderungen | Abschnitt A 18.1.1 |
