Seite wählen

ISO 27001 vs. ISO 27001 auf Basis von IT-Grundschutz

ISO 27001 und „ISO 27001 auf Basis von IT-Grundschutz“ definieren ein Rahmenwerk und beschreiben ein Konzept zur Umsetzung eines Informationssicherheitsmanagementsystems (ISMS). Die Standards ähneln sich im Grundsatz, weisen im Detail aber deutliche Unterschiede auf.

Lesezeit: .

Auf einen
Blick


01

Was ist ein ISMS und warum ist es wichtig?

Ein Informationssicherheitsmanagementsystem definiert Regeln, Methoden, Prozesse und Tools, um die Informationssicherheit in Unternehmen, Behörden und Firmen aus den KRITIS-Sektoren (zum Beispiel Energie, Gesundheit, Finanz- und Versicherungswesen) sicherzustellen. Das schließt die Einführung konkreter Vorgehensweisen sowie die Durchführung organisatorischer und technischer Maßnahmen ein, die fortlaufend kontrolliert, überwacht und verbessert werden müssen. Ziel ist es, über die IT-Abteilung hinaus für ein angemessenes Schutzniveau für Vertraulichkeit, Verfügbarkeit und Integrität von Informationen innerhalb der gesamten Organisation beziehungsweise des festgelegten Geltungsbereichs zu sorgen sowie Risiken hinsichtlich der Informationssicherheit zu minimieren.

Das ISMS bildet somit die Grundlage für eine systematische Umsetzung von Informationssicherheit innerhalb eines Unternehmens und für die Einhaltung von Sicherheitsstandards. Bei der Ausgestaltung eines ISMS und der Einführung aller notwendigen Sicherheitsmaßnahmen helfen ISO 27001 und/oder ISO 27001 auf Basis von IT-Grundschutz.

02

Was beinhalten ISO 27001 und ISO 27001 auf Basis von IT-Grundschutz?

In der Regel können Unternehmen wählen, ob sie ihr ISMS nach der internationalen Norm ISO/IEC 27001 oder der vom Bundesamt für Sicherheit in der Informationstechnik (BSI) entwickelten ISO 27001 auf Basis von IT-Grundschutz umsetzen und gegebenenfalls zertifizieren.

ISO 27001 spezifiziert die Anforderungen an Aufbau, Umsetzung, Betrieb, Überwachung, Bewertung, Wartung und Verbesserung von dokumentierten ISMS in Bezug auf die allgemeinen Geschäftsrisiken. Die Norm verfolgt einen Top-Down-Ansatz, bei dem die Prozesse im Mittelpunkt stehen und die notwendigen Sicherheitsmaßnahmen auf Basis einer individuellen Risikoanalyse implementiert werden.

ISO 27001 auf Basis von IT-Grundschutz beschreibt eine systematische Methode zur Identifizierung und Umsetzung notwendiger IT-Sicherheitsmaßnahmen in Unternehmen, um ein mittleres, angemessenes und ausreichendes Schutzniveau zu erreichen. Die BSI-Standards 200-1 (Managementsysteme für Informationssicherheit), 200-2 (IT-Grundschutz-Methodik), 200-3 (Risikomanagement) und 200-4 (Business Continuity Management – Community Draft) bzw. 100-4 (Notfallmanagement) liefern hierzu bewährte Vorgehensweisen, das IT-Grundschutz-Kompendium detaillierte Anforderungen. Einem Bottom-Up-Ansatz folgend liegt der Fokus auf konkreten Maßnahmen zur Absicherung der IT-Systeme.

03

Was haben ISO 27001 und ISO 27001 auf Basis von IT-Grundschutz gemein?

Sowohl ISO 27001 als auch ISO 27001 auf Basis von IT-Grundschutz zielen darauf ab, die allgemeine IT-Sicherheit in Unternehmen zu erhöhen. Beide Standards stehen für ein hohes, rechtlich anerkanntes Sicherheitsniveau und gelten diesbezüglich als gleichwertig. Ein nach ISO 27001 und/oder ISO 27001 auf Basis von IT-Grundschutz betriebenes ISMS ermöglicht es, potenzielle Risiken frühzeitig zu erkennen und mittels darauf zugeschnittener Gegenmaßnahmen zu minimieren. Auf diese Weise können Unternehmen die Vertraulichkeit, Verfügbarkeit und Integrität sämtlicher Informationen sicherstellen.

Beide Verfahren betrachten Informationssicherheit als Prozess, der kontinuierlich angepasst werden muss, etwa an geänderte interne Abläufe, veränderte gesetzliche Rahmenbedingungen, neue Technik oder bislang unbekannte Gefährdungen. Daher empfehlen sie einen PDCA-Zyklus (auch Demingkreis), bestehend aus den Phasen Plan (Planen von Sicherheitsmaßnahmen), Do (Maßnahmen umsetzen), Check (Erfolgskontrolle durch durchgängige Überwachung) und Act (kontinuierliche Verbesserung).

ISO 27001 und ISO 27001 auf Basis von IT-Grundschutz ähneln sich auch darin, dass sie die Gesamtverantwortung für ein angemessenes ISMS der obersten Leitungsebene zuschreiben. Zu deren Pflichten zählen sie, den Sicherheitsprozess zu initiieren, Ziele und Rahmenbedingungen festzulegen, eine Organisationsstruktur aufzubauen und Ressourcen bereitzustellen.

04

Worin unterscheiden sich ISO 27001 und ISO 27001 auf Basis von IT-Grundschutz?

Die größten Unterschiede zwischen ISO 27001 und ISO 27001 auf Basis von IT-Grundschutz bestehen in der Herangehensweise und Methodik sowie im Durchführungsumfang.

ISO 27001 verfolgt einen generischen, prozessorientierten Ansatz und liefert lediglich abstrakte Rahmenbedingungen sowie allgemeine Vorgaben. Dies gewährt Unternehmen zwar Spielräume für eine individuelle Umsetzung und Ausgestaltung des ISMS, setzt aber ein hohes Maß an Eigeninitiative und Expertise voraus. Am Anfang steht immer eine vollständige Risikoanalyse, die mit hohem Aufwand verbunden ist und Fehlerpotenzial beinhaltet. Auf deren Basis müssen Unternehmen anschließend in Eigenregie geeignete Verfahren und Sicherheitsmaßnahmen ausarbeiten und umsetzen.

Die internationale Norm beschreibt das ISMS auf rund 30 Seiten mit konzeptionellen Anforderungen an Organisation, Prozesse und Dokumente. Im Anhang A sind über 100 Maßnahmenziele für Infrastruktur, Technik, Prozesse und Dokumente aufgeführt. Empfehlungen und Richtlinien zu deren praktischer Umsetzung finden sich in der ISO 27002.

ISO 27001 auf Basis von IT-Grundschutz ist kompatibel zur ISO 27001 und ergänzt diese. Die Vorgaben sind hier strenger und um einiges umfangreicher, was mehr Aufwand bei der Umsetzung bedeutet. Dafür nimmt die ISO 27001 auf Basis von IT-Grundschutz mit ihrem maßnahmenorientierten Ansatz Nutzer stärker an die Hand. Die BSI-Standards und das nach dem Baukastenprinzip aufgebaute IT-Grundschutz-Kompendium liefern auf über tausend Seiten konkrete Vorgehensweisen, Handlungsempfehlungen und Maßnahmenbeschreibungen mit Umsetzungshinweisen. Unternehmen müssen aber nur die „Bausteine“ berücksichtigen und anwenden, deren Komponenten sie auch tatsächlich einsetzen. Durch klare Leitlinien sind Fehler bei der Umsetzung praktisch ausgeschlossen.

Ein weiterer Unterschied und Vorteil der ISO 27001 auf Basis von IT-Grundschutz gegenüber der ISO 27001 besteht darin, dass bei normalem Schutzbedarf keine gesonderte Risikoanalyse erfolgen muss. Das BSI hat für typische Gefährdungen der Business-IT bereits geeignete Gegenmaßnahmen definiert und erspart Unternehmen damit die aufwändige Analyse sowie die eigene Entwicklung angemessener Sicherheitsmaßnahmen. Nur bei erhöhtem Schutzbedarf ist eine ergänzende Sicherheits- und Risikoanalyse erforderlich.

ISO/IEC 27001

  • Generischer, prozessorientierter Ansatz
  • Vollständige Risikoanalyse erforderlich
  • > 30 Seiten Norm, zzgl. ca. 90 Seiten Maßnahmenbeschreibungen
  • Allgemeine Vorgaben und abstrakte Rahmenbedingungen
  • Viel Eigeninitiative zur Entwicklung angemessener Maßnahmen nötig
  • Top-Down-Methode

ISO 27001 auf Basis von IT-Grundschutz 

  • Maßnahmenorientierter Ansatz
  • Risikoanalyse entfällt (nur bei erhöhtem Schutzbedarf erforderlich)
  • > 800 Seiten IT-Grundschutz-Kompendium, zzgl. ca. 1000 Seiten Maßnahmenbeschreibungen und Umsetzungshinweise
  • Konkrete Vorgaben und Umsetzungshilfen
  • Enge Führung anhand klarer Leitlinien
  • Bottom-Up-Methode
05

Welche Vorteile bietet ein nach ISO 27001 auf Basis von IT-Grundschutz zertifizierter Dienstleister?

Unternehmen können sich ihre umgesetzten Sicherheitsmaßnahmen mit einer offiziellen Zertifizierung nach ISO 27001 beziehungsweise ISO 27001 auf Basis von IT-Grundschutz bescheinigen lassen. So machen sie nach außen sichtbar, dass sie definierte Sicherheitsstandards erfüllen. Das schafft Vertrauen bei Kunden und Partnern.

ISO 27001 auf Basis von IT-Grundschutz bietet hier einige Vorteile. Einer besteht darin, dass es konkrete Vorgaben gibt, welche Sicherheitsmaßnahmen wie umzusetzen sind. Eine erfolgreiche Zertifizierung nach ISO 27001 auf Basis von IT-Grundschutz sagt also nicht nur aus, dass ein ISMS vorhanden ist, sondern auch, wie es im Detail ausgestaltet wurde. Auftraggeber, Partner und Kunden eines nach ISO 27001 auf Basis von IT-Grundschutz zertifizierten Dienstleisters können die vorhandenen Sicherheitsmaßnahmen somit von außen einschätzen. Eine reine ISO-27001-Zertifizierung erlaubt diese Einschätzung nicht, da die allgemeinen Vorgaben nicht einheitlich umgesetzt werden.

Dank eines nach ISO 27001 auf Basis von IT-Grundschutz zertifizierten Dienstleisters haben outsourcende Unternehmen Gewissheit, dass ihre Informationen dort bestens geschützt sind.

06

Myra ist nach ISO 27001 auf Basis von IT-Grundschutz zertifiziert

Myra Security hat alle vom BSI definierten Schutzmaßnahmen gegen typische Gefährdungen der Unternehmens-IT erfolgreich umgesetzt. Das Zertifikat (Nummer: BSI-IGZ-0338-2018) bestätigt, dass das Informationssicherheitsmanagementsystem von Myra die Vertraulichkeit, Verfügbarkeit und Integrität sämtlicher Informationen durch geeignete technische und organisatorische Maßnahmen sicherstellt. Damit ist Myra eines von nur 121 Unternehmen weltweit (Stand 25.01.2021), welche die strengen Anforderungen der ISO 27001 auf Basis von IT-Grundschutz erfüllen.