ISO27001 vs. IT-Grundschutz
Die ISO/IEC 27001 definiert ein internationales, detailliertes ISMS; BSI IT-Grundschutz ist flexibel, modular, in Deutschland insbesondere bei Behörden bekannt. Beide bieten hohe Sicherheit, unterscheiden sich aber in Flexibilität und Zielgruppen. Diese Seite bietet einen detaillierten Vergleich.
ISO 27001 und BSI IT-Grundschutz im Vergleich
Diese Tabelle soll dir einen Überblick über die wichtigsten Unterschiede und Gemeinsamkeiten zwischen ISO/IEC 27001 und dem BSI IT-Grundschutz geben. Beide Standards haben ihre Stärken und sind je nach Organisation und Anforderungen unterschiedlich geeignet.
| Merkmal | ISO/IEC 27001 | BSI IT-Grundschutz |
|---|---|---|
| Verfügbarkeit | International verfügbar und anerkannt. | Primär in Deutschland anerkannt |
| Quellen | Der Standard ist beim Beuth Verlag kostenpflichtig zu erwerben | Die BSI Standards und alle Hilfsmittel sind kostenlos auf der Webseite des BSI zum download erhältlich |
| Anwendbarkeit | Für alle Organisationen weltweit | Schwerpunkt auf deutsche Organisationen und Behörden |
| Bekanntheit/Anerkennung | Weit verbreitet und international anerkannt | National in Deutschland sehr bekannt |
| Aufwand für die Umsetzung | Hoch, da spezifische Kontrollen definiert und dokumentiert werden müssen | Variiert, kann durch Bausteine und Vorgehensweise flexibel angepasst werden (Basis-, Standard- und Kernabsicherung) |
| Praktische Anwendbarkeit | Sehr spezifisch und detailliert | Flexibel und modular durch Bausteine und Vorgehnsweise |
| Nötiges Wissen | Erfordert tiefgehendes Wissen über Informationssicherheits-Managementsysteme (ISMS) und Risikoanalysen | Erfordert spezifisches Wissen über IT-Grundschutz-Kataloge, ansonsten durch eine geführte Vorgehensweise bei insgesamt etwas höherem Aufwand vergleichsweise einfach Anwendbar |
| Grad der erreichbaren Informationssicherheit | Sehr hoch, da umfassend und detailliert | Sehr hoch, durch detaillierte Bausteine und Umsetzungsempfehlungen |
| Erfüllung rechtlicher Rahmenbedingungen | International anerkannte Norm, erfüllt globale Compliance-Anforderungen | Erfüllt vor allem deutsche gesetzliche Anforderungen und Standards und grundsätzlich auch die Anforderungen der ISO/IEC 27001 |
| Zielgruppen | Alle Branchen und Unternehmensgrößen | Primär deutsche Unternehmen und Behörden |
| Unternehmensgrößen | Geeignet für alle Größen, jedoch oft bei größeren Organisationen eingesetzt | Geeignet für alle Größen, aber besonders für mittlere und große Organisationen |
| Flexibilität der Implementierung | Weniger flexibel, strikt nach Norm, etwas flexibler im Zuschnitt des Scope | Sehr flexibel, durch Bausteine anpassbar und währbare Iterative Vorgehensweise |
| Struktur | Managementsystem-orientiert | Baustein-orientiert, modular |
| Zertifizierung | International durch akkreditierte Zertifizierungsstellen möglich | National durch akkreditierte Stellen und BSI möglich. Leichter Einstieg durch ein Basis-Testat. |
| Fokus | Managementprozesse und kontinuierliche Verbesserung | Konkrete Anorderungen und Maßnahmen |
| Kosten | Tendenziell höher, da externe Beratung und Zertifizierung häufig nötig | Variiert je nach Vorgehensmodell, kann durch interne Ressourcen umgesetzt werden, bei Zertifizierung vergleichbare Beratungs- und Zertifizierungskosten. |
Zusammenfassend unterscheiden sich ISO/IEC 27001 und BSI IT-Grundschutz im Wesentlichen in der praktischen Vorgehensweise. Während man bei der ISO etwas flexibler in der Umsetzung ist, sich aber auch alles über Risikoanalysen selbst erarbeiten muss, bietet der IT-Grundschutz einen eher geführten Ansatz, indem man sein Verbund aus vorgefertigten Bausteinen zusammen modelliert und dann eine Liste mit klaren, teilweise technischen Anforderungen erhält, die abgearbeitet werden müssen. Einfach ausgedrückt:
Bei ISO muss ich mehr denken, bei IT-Grundschutz muss ich mehr machen.
Eine Zertifizierung nach ISO 27001 ist international allgemein anerkannt. Eine Zertifizierung nach BSI IT-Grundschutz heißt wörtlich "ISO 27001-Zertifizierung auf Basis von IT-Grundschutz" und entspricht damit einer ISO 27001-Zertifizierung und wird als gleichwertig anerkannt. Im Behördenbereich in Deutschland wird aufgrund gesetzlicher Vorgaben und aufgrund der meist höheren normativen Anforderungen im IT-Grundschutz das Vorgehen nach BSI IT-Grundschutz und eine entsprechende Zertifizierung gefordert.
Philosophische Unterschiede
Die ISO/IEC27001 ist ein Vorgehensmodell, das sehr stark auf die Zertifizierung ausgerichtet ist, es ist eine klare Norm, bei der es heißt "Ich mach es oder ich lass es", es gibt praktisch keine Zwischenschritte oder Teilziele und keine Priorisierung einzelner Themen. Wer schnell eine Zertifizierung braucht, ist hier gut aufgehoben.
Der BSI IT-Grundschutz ist da flexibler und modularer. Der Anwender wird durch den Grundschutz geführt, es werden Zwischenschritte und verschiedene Vorgehensmodelle angeboten (Basisabsicherung, Standardabsicherung, Kernabsicherung), die Bausteine und Anforderungen sind priorisiert, so dass der Anwender schrittweise vorgehen und sogar Teilziele auditieren lassen kann (Basisabsicherung mit Basistestat).
Vergleich der Anforderungen
Für den Vergleich und die Zuordnung der Anforderungen der ISO/IEC 27001 und des BSI IT-Grundschutzes hat das BSI ein Dokument erstellt, das die Erfüllung der Anforderungen der ISO/IEC 27001 im Vorgehen nach BSI IT-Grundschutz nachweist:
Zuordnungstabelle ISO 27001 zum IT-Grundschutz
Vergleich der Dokumentationsaufwände
⚠️Die Tabelle muss überarbeitet werden (aktuelle ISO 27001)
| Dokumentation ISO | Anforderung ISO |
Dokumentation Grundschutz | Anforderung GS |
|---|---|---|---|
| Anwendungsbereich des ISMS | A 4.3 | Leitlinie Informationssicherheit | ISMS.1.A3 |
| Leitlinie Informationssicherheit | A 5.2
A 6.2 |
Leitlinie Informationssicherheit | ISMS.1.A3 |
| Risikobewertungs- und Risikobehandlungsmethodik | A 6.1.2 | Richtlinie zur Risikoanalyse | BSI 200-1 Kap.8.1 Auswahl einer Methode zur Risikoanalyse
Referenzdokumente Kap.2.1 Kap.2.6 und A.6 |
| Anwendbarkeitserklärung | A 6.1.3d | Sicherheitskonzept /Strukturanalyse
(Organisation des ISMS) |
ISMS.1.A7 |
| Risikobehandlungsplan | A 6.1.3e
A 6.2 |
Richtlinie zur Risikoanalyse | |
| Definition der Sicherheitsrollen und Verantwortlichkeiten | A 7.1.2
A 13.2.4 |
||
| Aufzeichnungen über Schulungen, Fähigkeiten, Erfahrung und Qualifikationen | A 7.2 | Schulungskonzept
Nachweis der Teilnahme an Fortbildungen |
ORP.2.A15 |
| Sicherheitsrollen und Verantwortlichkeiten | A 7.2.1 | ||
| Verzeichnis der Assets | A 8.1.1 | Strukturanalyse, Modellierung | |
| Regelung zur Nutzung von Assets | A 8.1.3 | Strukturanalyse, Modellierung | |
| Risikobewertungsbericht | A 8.2
A 8.3 |
Risikoanalyse
Risikobehandlungsplan |
|
| Überwachungs- und Messergebnisse | A 9.1 | Interne Revisionen und Audits | DER.3.1.A3, DER.3.1.A5, DER.3.1.A22 |
| Richtlinie für Zugriffskontrolle | A 9.1.1 | ||
| internes Audit-Programm und Ergebnisaufzeichnungen | A 9.2 | Richtlinie zur Lenkung von Korrektur- und Vorbeugungsmaßnahmen | ISMS.1.A11, DER.3.1.A7, DER.3.1.A10, DER.3.1.A22 |
| Ergebnisse aus Managementbewertungen | A 9.3 | Management Berichte | |
| Ergebnisse von Korrekturmaßnahmen | A 10.1 | ||
| Richtlinie für die Verwendung von kryptographischen Algorithmen | A 10.1.1 | Richtlinie Kryptographie | |
| Betriebsprozesse für das IT-Management | A 12.1.1 | ||
| Aktivitätsprotokolle und deren regelmäßig Auswertung | A 12.4.1
A 12.4.3 |
Richtlinie Protokollierung | |
| Prinzipien des sicheren Systembetriebs | A 14.2.5 | ||
| Sicherheitsrichtlinie für Lieferanten | A 15.1.1 | ||
| Sicherheitsvorfall Management | A 16.1.5 | Richtlinie Sicherheitsvorfallmanagement | |
| Verfahren für betriebliche Kontinuität BCM | A 17.1.2 | Richtlinie Notfallmanagement (BCM) | |
| Gesetzliche, behördliche und vertragliche Anforderungen | A 18.1.1 |
