Sowohl die internationale Norm ISO 27001 bzw. IES 27001 als auch ISO 27001 auf Basis IT-Grundschutz (BSI-Grundschutz) erlauben die Beurteilung und ggf. Zertifizierung eines Informationssicherheits-Managementsystem. Beide Normen zur Datensicherheit haben größere inhaltliche Schnittmengen, unterscheiden sich jedoch von der Methodik.

ISO/IEC 27001 (nativ) und ISO 27001 auf Basis IT-Grundschutz im Vergleich

Erwartet werden von Unternehmen jeweils geplante, dokumentierte und funktionierende Prozesse, die es erlauben, die Informationssicherheit aufzubauen, zu kontrollieren und laufend zu verbessern. Sind die Voraussetzungen erfüllt und nach Prüfung durch einen Auditor gegenüber der Zertifizierungsstelle bestätigt, kann ein offizielles Zertifikat ausgestellt werden. Diese Zertifikate haben grundsätzlich eine Gültigkeit von drei Jahren bevor sie erneuert werden müssen. Während der Gültigkeitsdauer erfolgen jährliche Überwachungsaudits.

Unterschiedliche Wege zur IT-Sicherheits-Norm

ISO 27001

Die ISO 27001 konzentriert sich auf den Informationssicherheits-Prozess an sich. Die relevanten Regelungen sind mit nicht einmal 100 Seiten Text eher knapp. Entscheidend ist, selbst geeignete Verfahren und Maßnahmen zu finden und umzusetzen, um die identifizierten und analysierten Risiken auf ein akzeptables Niveau zu senken. Die Norm gibt hierfür 114 Maßnahmen vor, die allerdings eher allgemein gehalten sind. Das Vorgehen bietet damit zwar größeren Spielraum bei der Erreichung eines den eigenen Bedürfnissen tatsächlich angemessenen Schutzniveaus. Gefordert ist aber, die recht abstrakten Vorgaben der Norm selbst im Detail auszuarbeiten und mit angemessenem Inhalt zu füllen. Zentral ist die ausführliche Analyse der Risiken und deren Behandlung. Der hierfür erforderliche Aufwand und Ressourcenbedarf ist erheblich.

BSI-Grundschutz

ISO 27001 auf Basis IT-Grundschutz betrachtet die Informationssicherheits-Prozesse selbstverständlich auch, jedoch werden in den mehrere tausend Seiten starken GS-Katalogen typische Gefährdungen bereits bewertet und eine Vielzahl konkreter Maßnahmen empfohlen, um diesen angemessen entgegenzuwirken, solange ein „normaler“ Schutzbedarf nicht überschritten wird. Lediglich soweit es um Bereiche geht, in denen höherer Schutzbedarf besteht, wird noch eine eigene Analyse von Gefährdungen und Risiken und die Auseinandersetzung mit zusätzlichen oder anderen Schutzmaßnahmen erwartet.

In der Vorgabe bereits definierter Maßnahmen liegt Einsparungspotential, entfällt doch der Zwang zur vollumfänglichen Risikoanalyse und der Entwicklung eigener Maßnahmen. Durch die Schematisierung der Vorgehensweise werden Fehler bei der Umsetzung vermieden. Allerdings wird objektive Vergleichbarkeit des tatsächlich erreichten Sicherheitsniveaus erreicht.

Überblick: Unterschiede ISO 27001 vs. BSI-Grundschutz

ISO/IEC 27001

  • Relevante Normen weniger als 100 Seiten
  • Generischer Ansatz
  • Abstrakte Rahmenbedingungen
  • Vollständige Risikoanalyse

ISO/IEC 27001

  • GS-Kataloge mehr als 4000 Seiten

  • Maßnahmenorientierter Ansatz

  • Konkrete Vorgaben

  • Risikoanalyse nur bei erhöhtem Schutzbedarf