Vergleich von ISO/IEC 27001 und BSI-Grundschutz

Sowohl die internationale Norm ISO/IEC 27001 (nativ) als auch die deutsche ISO 27001 auf Basis IT-Grundschutz (BSI-Grundschutz) erlauben die Beurteilung und ggf. Zertifizierung eines Informationssicherheits-Managementsystems (ISMS). Beide Normen zur Informationssicherheit haben größere inhaltliche Schnittmengen, unterscheiden sich jedoch in der Methodik.

Gemeinsamkeiten von ISO/IEC 27001 (nativ) und ISO 27001 auf Basis IT-Grundschutz

Erwartet werden von Unternehmen jeweils geplante, dokumentierte und funktionierende Prozesse, die es erlauben, die Informationssicherheit aufzubauen, zu kontrollieren und laufend zu verbessern. Sind die Voraussetzungen erfüllt und nach Prüfung durch einen Auditor gegenüber der Zertifizierungsstelle bestätigt, kann ein offizielles Zertifikat ausgestellt werden. Diese Zertifikate haben grundsätzlich eine Gültigkeit von drei Jahren bevor sie erneuert werden müssen. Während der Gültigkeitsdauer erfolgen jährliche Überwachungsaudits.

Unterschiede von ISO IEC 27001 und BSI-Grundschutz

Der wesentliche Unterschied beider Normen für Informationssicherheit liegt darin, wie sie formal aufgebaut sind bzw. wie eine Zertifizierung erreicht werden kann.

ISO/IEC27001

Die ISO/IEC27001 konzentriert sich auf den Informationssicherheits-Prozess an sich. Die relevanten Regelungen sind mit nicht einmal 50 Seiten Text eher knapp. Entscheidend ist es für das Unternehmen, selbst geeignete Verfahren und Maßnahmen zu finden und umzusetzen, um die identifizierten und analysierten Risiken auf ein akzeptables Niveau zu senken. Die Norm gibt hierfür 114 Maßnahmen vor, die allerdings eher allgemein gehalten sind.

Das Vorgehen bietet damit zwar größeren Spielraum bei der Erreichung eines den eigenen Bedürfnissen tatsächlich angemessenen Schutzniveaus. Gefordert ist aber, die recht abstrakten Vorgaben der Norm selbst im Detail auszuarbeiten und mit angemessenem Inhalt zu füllen. Zentral ist die ausführliche Analyse der Risiken und deren Behandlung. Der hierfür erforderliche Aufwand und Ressourcenbedarf ist erheblich.

BSI-Grundschutz

Die ISO 27001 auf Basis IT-Grundschutz betrachtet die Informationssicherheits-Prozesse selbstverständlich auch, jedoch werden in den mehrere tausend Seiten starken Grundschutz-Katalogen typische Gefährdungen bereits bewertet und eine Vielzahl konkreter Maßnahmen empfohlen, um diesen angemessen entgegenzuwirken, solange ein „normaler“ Schutzbedarf nicht überschritten wird. Lediglich soweit es um Bereiche geht, in denen höherer Schutzbedarf besteht, wird noch eine eigene Analyse von Gefährdungen und Risiken und die Auseinandersetzung mit zusätzlichen oder anderen Schutzmaßnahmen erwartet.

In der Vorgabe bereits definierter Maßnahmen liegt Einsparungspotential, entfällt doch der Zwang zur vollumfänglichen Risikoanalyse und der Entwicklung eigener Maßnahmen. Durch die Schematisierung der Vorgehensweise werden Fehler bei der Umsetzung vermieden. Zudem wird eine objektive Vergleichbarkeit des tatsächlich erreichten Sicherheitsniveaus erreicht. Der gesamte Umfang an zu prüfenden Fragestellungen ist jedoch deutlich höher als bei der ISO 27001 nativ.

Überblick: Unterschiede ISO/IEC27001 vs. BSI-Grundschutz

ISO/IEC 27001

  • Relevante Normen weniger als 50 Seiten

  • Generischer Ansatz

  • Abstrakte Rahmenbedingungen

  • Vollständige Risikoanalyse nötig

ISO 27001 auf Basis IT-Grundschutz

  • GS-Kataloge mehr als 4000 Seiten

  • Maßnahmenorientierter Ansatz

  • Konkrete Vorgaben

  • Risikoanalyse nur bei erhöhtem Schutzbedarf

Bestellen Sie jetzt einen unserer Experten als externen Informationssicherheitsbeauftragten für Ihr Unternehmen und profitieren von Datensicherheit zum Flatratepreis!

Kommentar schreiben

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Netiquette: Wir tolerieren keine grob unsachlichen Beiträge oder Werbung in eigener Sache und werden entsprechende Einträge nicht veröffentlichen sondern löschen. Informationen zu der Verarbeitung Ihrer personenbezogenen Daten finden Sie in unserer Datenschutzerklärung.