[av_section color=’main_color‘ custom_bg=“ src=’https://www.activemind.de/wp-content/uploads/activeMind-titel02web.jpg‘ attachment=’8325′ attachment_size=’full‘ attach=’parallax‘ position=’top center‘ repeat=’stretch‘ video=“ video_ratio=’16:9′ min_height=’custom‘ min_height_px=’320px‘ padding=’default‘ shadow=’no-shadow‘ bottom_border=’no-border-styling‘ id=“]
[av_heading heading=‘Vergleich ISO 27001 vs. BSI-Grundschutz‚ tag=’h1′ style=’blockquote modern-quote‘ size=“ subheading_active=“ subheading_size=’18‘ padding=’0′ color=’custom-color-heading‘ custom_font=’#ffffff‘][/av_heading]
[/av_section]

[av_three_fifth first]

[av_textblock size=“ font_color=“ color=“]
Sowohl die internationale Norm ISO 27001 bzw. IES 27001 als auch ISO 27001 auf Basis IT-Grundschutz (BSI-Grundschutz) erlauben die Beurteilung und ggf. Zertifizierung eines Informationssicherheits-Managementsystem. Beide Normen zur Datensicherheit haben größere inhaltliche Schnittmengen, unterscheiden sich jedoch von der Methodik.

ISO/IEC 27001 (nativ) und ISO 27001 auf Basis IT-Grundschutz im Vergleich

Erwartet werden von Unternehmen jeweils geplante, dokumentierte und funktionierende Prozesse, die es erlauben, die Informationssicherheit aufzubauen, zu kontrollieren und laufend zu verbessern. Sind die Voraussetzungen erfüllt und nach Prüfung durch einen Auditor gegenüber der Zertifizierungsstelle bestätigt, kann ein offizielles Zertifikat ausgestellt werden. Diese Zertifikate haben grundsätzlich eine Gültigkeit von drei Jahren bevor sie erneuert werden müssen. Während der Gültigkeitsdauer erfolgen jährliche Überwachungsaudits.

Unterschiedliche Wege zur IT-Sicherheits-Norm

ISO 27001

Die ISO 27001 konzentriert sich auf den Informationssicherheits-Prozess an sich. Die relevanten Regelungen sind mit nicht einmal 100 Seiten Text eher knapp. Entscheidend ist, selbst geeignete Verfahren und Maßnahmen zu finden und umzusetzen, um die identifizierten und analysierten Risiken auf ein akzeptables Niveau zu senken. Die Norm gibt hierfür 114 Maßnahmen vor, die allerdings eher allgemein gehalten sind. Das Vorgehen bietet damit zwar größeren Spielraum bei der Erreichung eines den eigenen Bedürfnissen tatsächlich angemessenen Schutzniveaus. Gefordert ist aber, die recht abstrakten Vorgaben der Norm selbst im Detail auszuarbeiten und mit angemessenem Inhalt zu füllen. Zentral ist die ausführliche Analyse der Risiken und deren Behandlung. Der hierfür erforderliche Aufwand und Ressourcenbedarf ist erheblich.

BSI-Grundschutz

ISO 27001 auf Basis IT-Grundschutz betrachtet die Informationssicherheits-Prozesse selbstverständlich auch, jedoch werden in den mehrere tausend Seiten starken GS-Katalogen typische Gefährdungen bereits bewertet und eine Vielzahl konkreter Maßnahmen empfohlen, um diesen angemessen entgegenzuwirken, solange ein „normaler“ Schutzbedarf nicht überschritten wird. Lediglich soweit es um Bereiche geht, in denen höherer Schutzbedarf besteht, wird noch eine eigene Analyse von Gefährdungen und Risiken und die Auseinandersetzung mit zusätzlichen oder anderen Schutzmaßnahmen erwartet.

In der Vorgabe bereits definierter Maßnahmen liegt Einsparungspotential, entfällt doch der Zwang zur vollumfänglichen Risikoanalyse und der Entwicklung eigener Maßnahmen. Durch die Schematisierung der Vorgehensweise werden Fehler bei der Umsetzung vermieden. Allerdings wird objektive Vergleichbarkeit des tatsächlich erreichten Sicherheitsniveaus erreicht.

Überblick: Unterschiede ISO 27001 vs. BSI-Grundschutz

[/av_textblock]

[av_table purpose=’pricing‘ caption=“ responsive_styling=’avia_responsive_table‘]
[av_row row_style=’avia-heading-row‘][av_cell col_style=“]ISO/IEC 27001[/av_cell][av_cell col_style=“]ISO 27001 auf Basis IT-GS[/av_cell][/av_row]
[av_row row_style=“][av_cell col_style=“]Relevante Normen
weniger als 100 Seiten[/av_cell][av_cell col_style=“]GS-Kataloge
mehr als 4000 Seiten[/av_cell][/av_row]
[av_row row_style=“][av_cell col_style=“]Generischer Ansatz[/av_cell][av_cell col_style=“]Maßnahmenorientierter Ansatz[/av_cell][/av_row]
[av_row row_style=“][av_cell col_style=“]Abstrakte Rahmenbedingungen[/av_cell][av_cell col_style=“]Konkrete Vorgaben[/av_cell][/av_row]
[av_row row_style=“][av_cell col_style=“]Vollständige
Risikoanalyse[/av_cell][av_cell col_style=“]Risikoanalyse nur bei erhöhtem Schutzbedarf[/av_cell][/av_row]
[av_row row_style=’avia-button-row‘][av_cell col_style=“][av_button label=’Infos zu Beratung & Audit‘ link=’manually,https://www.activemind.de/datensicherheit/iso-27001/‘ link_target=“ size=’medium‘ position=’center‘ icon_select=’yes‘ icon=’ue875′ font=’entypo-fontello‘ color=’theme-color‘ custom_bg=’#444444′ custom_font=’#ffffff‘]

[/av_cell][av_cell col_style=“][av_button label=’Infos zu Beratung & Audit‘ link=’manually,https://www.activemind.de/datensicherheit/bsi-grundschutz/‘ link_target=“ size=’medium‘ position=’center‘ icon_select=’yes‘ icon=’ue875′ font=’entypo-fontello‘ color=’theme-color‘ custom_bg=’#444444′ custom_font=’#ffffff‘]

[/av_cell][/av_row]
[/av_table]

[av_promobox button=’yes‘ label=’Jetzt Anfrage stellen‘ link=’manually,http://www.activemind.de/unternehmen/kontakt‘ link_target=“ color=’theme-color‘ custom_bg=’#444444′ custom_font=’#ffffff‘ size=’medium‘ icon_select=’yes‘ icon=’ue875′ font=’entypo-fontello‘]
Jedes Unternehmen hat andere Bedürfnisse. Gerne erstellen wir Ihnen ein persönliches Angebot.
[/av_promobox]

[/av_three_fifth][av_two_fifth]
[av_sidebar widget_area=’sidebar-datensicherheit‘]

[av_sidebar widget_area=’Displayed Everywhere‘]
[/av_two_fifth]