ISO 27001: Ein Leitfaden für Informationssicherheit
Die ISO/IEC 27001 Zertifizierung auf Basis von IT-Grundschutz ist eine Möglichkeit für Unternehmen, die ihre Informationssicherheit professionell und normgerecht gestalten wollen. Diese Zertifizierung verbindet die Anforderungen des internationalen Standards ISO 27001 mit den praxisorientierten Methoden des IT-Grundschutzes des Bundesamts für Sicherheit in der Informationstechnik (BSI).
In diesem Beitrag erfahren Sie, was Sie über den Zertifizierungsprozess, die Voraussetzungen und den Ablauf eines erfolgreichen Audits wissen müssen.
Dieser Beitrag ist Teil einer Reihe von aufeinander aufbauenden und vernetzten Beiträgen - ausgehend von einer generellen "ISO 27001-Checkliste".
In dieser Checkliste sind zu allen Themen der ISO 27001 die Fragen und Hinweise aufgeführt, die zur Umsetzung der Norm wesentlich sind. Der folgende Beitrag gibt Antworten auf die spezifien Aspekte aus der Checkliste.
Um wieder zur Checkliste zurück zu kehren, klicken Sie einfach auf das ICON
Einführung in ISO 27001 und ISO 27001 auf Basis von IT-Grundschutz
Viele neue Informationssicherheitsbeauftragter (ISB) stehen vor der Herausforderung, sich mit den Grundlagen der Informationssicherheit vertraut zu machen und ein entsprechendes Managementsystem in Ihrem Unternehmen einzuführen oder zu optimieren. Dabei stehen Ihnen zwei Ansätze zur Verfügung: die internationale Norm ISO/IEC 27001 oder die vom Bundesamt für Sicherheit in der Informationstechnik (BSI) entwickelte Variante ISO 27001 auf Basis von IT-Grundschutz. Beide Methoden erfüllen die Anforderungen der ISO 27001 und bieten die Möglichkeit zur Zertifizierung, unterscheiden sich jedoch in ihrem Vorgehen und Schwerpunkt.
Der Top-Down-Ansatz der ISO/IEC 27001
Die ISO/IEC 27001 spezifiziert die Anforderungen an ein Informationssicherheits-Managementsystem (ISMS) in allen Phasen: Planung, Umsetzung, Betrieb, Überwachung und kontinuierliche Verbesserung. Der Ansatz dieser Norm ist prozessorientiert und folgt einer Top-Down-Logik. Dabei steht die individuelle Risikoanalyse im Mittelpunkt. Unternehmen analysieren ihre spezifischen Risiken und wählen darauf aufbauend geeignete Sicherheitsmaßnahmen aus, die implementiert und kontinuierlich überwacht werden.
Mit diesem Ansatz wird das ISMS passgenau auf die unternehmerischen Risiken und Geschäftsziele abgestimmt. Dies bietet Flexibilität und ermöglicht eine maßgeschneiderte Umsetzung der Sicherheitsmaßnahmen. Unternehmen, die besonderen Wert auf eine individuelle Lösung und internationale Anerkennung legen, profitieren stark von der ISO/IEC 27001.
Der Bottom-Up-Ansatz der ISO 27001 auf Basis von IT-Grundschutz
Im Gegensatz zur ISO/IEC 27001 setzt der IT-Grundschutz des BSI auf vordefinierte und bewährte Sicherheitsmaßnahmen. Hier liegt der Schwerpunkt auf einer systematischen Absicherung der IT-Systeme, um ein angemessenes Schutzniveau zu erreichen. Dieser Ansatz folgt der Bottom-Up-Logik: Anhand des IT-Grundschutz-Kompendiums und der BSI-Standards werden konkrete Sicherheitsmaßnahmen schrittweise identifiziert, ausgewählt und umgesetzt.
Das BSI stellt hierfür mehrere wichtige Standards bereit:
- BSI-Standard 200-1: Managementsysteme für Informationssicherheit
- BSI-Standard 200-2: IT-Grundschutz-Methodik
- BSI-Standard 200-3: Risikomanagement
- BSI-Standard 200-4 bzw. 100-4: Business Continuity und Notfallmanagement
Diese Standards bieten praxiserprobte Vorgehensweisen und konkrete Hilfestellungen, um Unternehmen bei der Einführung und Umsetzung eines ISMS zu unterstützen. Der IT-Grundschutz ist besonders für Organisationen geeignet, die auf vordefinierte Sicherheitsmaßnahmen setzen möchten und weniger Ressourcen für eine umfassende Risikoanalyse aufbringen können.
Welcher Ansatz ist der richtige?
Die Wahl zwischen ISO/IEC 27001 und ISO 27001 auf Basis von IT-Grundschutz hängt von den individuellen Anforderungen, Zielen und Ressourcen Ihres Unternehmens ab. Wenn Flexibilität und eine individuelle Risikoanalyse im Vordergrund stehen, ist die ISO/IEC 27001 der richtige Weg. Legen Sie hingegen Wert auf umfassende Sicherheitsmaßnahmen und eine systematische Vorgehensweise, bietet der IT-Grundschutz des BSI eine hervorragende Grundlage. Hier ein Überblick über beide Ansätze im Überblick:
Kernaspekte der beiden Ansätze im Überblick
ISO/IEC 27001
- Ansatz: Generisch und prozessorientiert
- Methode: Top-Down
- Risikoanalyse: Vollständige Risikoanalyse erforderlich
- Umfang:
- 30 Seiten Norm
- ca. 90 Seiten Maßnahmenbeschreibungen
- Inhalte: Allgemeine Vorgaben und abstrakte Rahmenbedingungen
- Anforderung: Viel Eigeninitiative zur Entwicklung angemessener Maßnahmen notwendig
- Zielgruppe: Organisationen, die flexible, maßgeschneiderte Sicherheitslösungen benötigen
- Aufwand: Im Vergleich zum Grundschutz weniger Aufwand, weil keine vorgegebenen Umsetzungsmethodiken vorausgesetzt werden (gut geeignet für KMU und Mittelständische Unternehmen)
ISO 27001 auf Basis von IT-Grundschutz
- Ansatz: Maßnahmenorientiert, praxisnah – aber umfassend
- Methode: Bottom-Up
- Risikoanalyse: Entfällt (nur bei erhöhtem Schutzbedarf erforderlich)
- Umfang:
- 800 Seiten IT-Grundschutz-Kompendium
- ca. 1000 Seiten Maßnahmenbeschreibungen und Umsetzungshinweise
- Inhalte: Konkrete Vorgaben und umfangreiche Umsetzungshilfen
- Anforderung: Enge Führung anhand klarer Leitlinien, geringere Eigeninitiative notwendig
- Zielgruppe: Organisationen, die auf etablierte Maßnahmen und systematische Vorgehensweisen setzen
- Aufwand: Sehr zeitaufwändig, da sehr detailliert (gut geeignet für Behörden und Organisationen des öffentlichen Sektors)
Schauen Sie sich gerne unsere Musterlösungen zur ISO 27001 im Detail an,
mit der Sie die Norm vollständig implementieren können.
