Gegenüberstellung: ISMS nach ISO 27001 oder IT-Grundschutz (BSI) umsetzen?
ID: 1739490
Die konkrete ISMS Umsetzung kann mittels der internationalen Norm ISO/IEC 27001 oder auf Grundlage des IT-Grundschutz des Bundesamtes für Sicherheit in der Informationstechnik (BSI) erfolgen.
Gemeinsamkeiten von ISO 27001 und IT-Grundschutz
Beide Ansätze verfolgen das Konzept, den gesamten ISMS Prozess in einem Lebenszyklus zu betrachten. Dieser gliedert sich in die typischen Projektphasen:
PLAN –Planen der Sicherheitsmaßnahmen
DO – Sicherheitsmaßnahmen implementieren
CHECK – Erfolgskontrolle durch laufende Überwachung
ACT – Kontinuierliche Optimierung
Dieser PDCA-Zyklus ist ein etablierter Bestandteil vieler Managementsysteme, wie etwa des Qualitätsmanagements.
PLAN
Die Phase beschreibt das Identifizieren und Analysieren relevanter Rahmenbedingungen. Dabei sollen die Sicherheitsziele und Rahmenbedingungen festgelegt und in einer Informationssicherheits-Leitlinie für das gesamte Unternehmen definiert werden (siehe Abbildung 2). Weiterhin gilt es eine geeignete Organisationsstruktur aufzubauen und mit den entsprechenden Verantwortlichkeiten und notwendigen Ressourcen bereitzustellen.
Um die Sicherheitsziele zu erreichen, muss das Unternehmen im Anschluss Sicherheitskonzepte und Richtlinien entwickeln und geeignete technische sowie organisatorische Maßnahmen festlegen.
DO
Die Maßnahmen werden in Arbeitspaketen und Dienstanweisungen umgesetzt.
CHECK
Die Informationssicherheit ist kein abgeschlossenes Projekt, sondern definiert ein Prozess, der kontinuierlich das Sicherheitskonzept verbessert.
Dazu muss das Unternehmen angemessene Instrumente, wie interne bzw. externe Audits oder Kennzahlenreports, einsetzen und damit regelmäßig prüfen, ob die Informationssicherheitsziele erreicht wurden.
ACT
Wird das Abweichen eines Prozesses festgestellt, muss die Behandlung im Lebenszyklus geplant, umgesetzt und wieder überprüft werden, um das Informationssicherheitsniveau kontinuierlich zu verbessern.
Weiterhin ist auch das initiale Vorgehen beider Ansätze ähnlich und besagt, dass der Sicherheitsprozess von der Leitungsebene ausgehen muss. Dieser Punkt ist essentiell und legt in der „PLAN-Phase“ fest, ob das Projekt ein Erfolg wird.
Unterschiede zwischen ISO 27001 und IT-Grundschutz
Der Unterschied liegt einerseits in der Herangehensweise in der „DO-Phase“ und andererseits im Durchführungsumfang.
So verfolgt die ISO 27001 einen Top-Down-Ansatz, der die Unternehmensprozesse im Fokus hat und anhand einer Risikoanalyse die notwendigen Sicherheitsmaßnahmen implementiert. Anders beim IT-Grundschutz, hier liegt der Schwerpunkt in der detaillierten Absicherung der IT-Systeme mit konkreten Vorgehensweisen (Bottom-Up-Ansatz). In der Vorgehensweise unterscheidet der IT-Grundschutz dann drei verschiedene Methoden: Basis-, Kern- und Standard-Absicherung.
Kurz:
Basis-Absicherung: Relevante Geschäftsprozesse mit Basismaßnahmen absichern
Kern-Absicherung: Detaillierte Sicherheitsmaßnahmen für besonders wichtige Geschäftsprozesse und Risikoobjekte.
Standard-Absicherung: Empfohlene IT-Grundschutz-Vorgehensweise, umfasst den Schutz aller Prozesse und Bereiche des Unternehmens.
Eine ausführliche Beschreibung ist in der IT-Grundschutz-Methodik zu finden.
Bedeutend ist vor allem der Durchführungsumfang beim IT-Grundschutz. Denn trotz überarbeiteter und verschlankter Form umfasst das neue IT-Grundschutz Kompendium (2. Auflage von 2019) allein schon 840 Seiten. Dieser ersetzt damit die sehr detaillierten IT-Grundschutzkataloge mit über 5.000 Seiten. Hinzu kommen klare Maßnahmenbeschreibungen, welche zusätzlich etwa 3.000 Seiten füllen. Hier zeigt sich ein wesentlicher Vorteil der ISO 27001, die das Rahmenwerk schon auf 30 Seiten beschreibt. Die Sicherheitsmaßnahmen im Anhang füllen zudem nur 100 Seiten.
Der Schwerpunkt des IT-Grundschutz-Kompendiums liegt dabei in der Beschreibung standardisierter Sicherheitsanforderungen für typische Geschäftsprozesse, Anwendungen und IT-Systeme sowie deren Gefährdungen. Aufgegliedert in 94 Bausteine beschäftigt sich der IT-Grundschutz im Weiteren mit der Umsetzung klarer Sicherheitsmaßnahmen und der detaillierten Vorgehensweise, um Risiken zu minimieren.
Die ISO 27001 hingegen fokussiert sich in der 30-seitigen generalisierbaren Norm mehr auf das Management der Informationssicherheit.
Ein wesentlicher Unterschied liegt zudem in der Risikoanalyse und dem Bewerten der Risikoobjekte, die nach ISO 27001 eine entscheidende Rolle einnimmt. Nach dem IT-Grundschutz hingegen ist die Risikoanalyse nur in besonderen Fällen erforderlich.
Das Risikomanagement ist jedoch ein übergreifender Prozess innerhalb eines ISMS, der systematisch Risiken im Kontext der Informationssicherheit erfasst, bewertet und transparent darstellt. Dabei werden Bedrohungen und Schwachstellen beurteilt sowie Maßnahmen zu deren Behandlung und Steuerung festgelegt. Das Risikomanagement soll im Hinblick auf die kritischen Risikoobjekte/Prozesse ein akzeptables Sicherheitsniveau gewährleisten bzw. eine nachhaltige Verbesserung im Geltungsbereich des ISMS sicherstellen.
Wie der genaue Risikomanagement Prozess abläuft, beschreiben wir ausführlich in einem separaten Beitrag.
Zusammenfassung
Kurz, die ISO 27001 führt Sicherheitsmaßnahmen nach einer abstrakten sowie effizienten Top-Down Methode durch, der IT-Grundschutz setzt auf die Bottom-Up Methode mit klarer Maßnahmenbehandlung.
Für IT-Leiter und Administratoren wirkt die Bottom-Up Methode mit konkreten Handlungsempfehlungen der vorhandenen IT-Systeme intuitiver, da keine Managementaufgaben sowie Risikoanalysen vorangestellt sind. Diese Herangehensweise priorisiert jedoch nicht das Umsetzen von Sicherheitsmaßnahmen für besonders schützenswerte Daten sowie Informationen, wie sie durch die ISO 27001 angestrebt wird.
Die Übersicht zeigt noch einmal die wesentlichen
Unterschiede beider Ansätze:
ISO/IEC 27001
* Generischer Ansatz
* Internationale Norm: 30 Seiten / Maßnahmenbeschreibungen: 100 Seiten
* Abstrakte Rahmenbedingungen
* Risikobewertung notwendig
*Top-Down-Methode
IT-Grundschutz
* Maßnahmenorientierter Ansatz
* Grundschutz-Kompendium: 840 Seiten / Grundschutz-Kataloge: 270 Seiten / Maßnahmenbeschreibungen: ca. 3000 Seiten
* Konkrete Vorgaben
* Risikobewertung nur bei erhöhtem Schutzbedarf
* Bottom-Up-Methode
Fragen zur Umsetzung eines ISMS?
Haben Sie Fragen, welcher Ansatz der Richtige für Sie ist? Gerne unterstützen wir Sie bei der Umsetzung eines ISMS mit den wesentlichen Werkzeugen, Checklisten und Dokumentvorlagen.
Unsere zertifizierten ISO 27001 Experten führen Sie durch den gesamten Prozess und stellen Ihnen eine praktische, Tool-gestützte Realisierung des ISMS-Prozesses zur Verfügung. Dabei profitieren Sie von unserer Erfahrung aus zahlreichen Projekten und dem umfassenden technischen sowie branchenspezifischen Praxis-Know-How.
Weitere Infos zu dieser Pressemeldung:
Themen in dieser Pressemitteilung:
Unternehmensinformation / Kurzprofil:
Die Adiccon berät seit vielen Jahren Unternehmen unterschiedlichster Branchen und Größen beim Einsatz moderner IT- und TK-Technologien. Wir analysieren die vorhandenen Infrastrukturen und planen zusammen mit unseren Kunden die individuell an die Bedürfnisse angepassten Lösungen.
Unser Name „Advanced IT & Communications Consulting“ - kurz: Adiccon - steht für unseren Anspruch, Ihnen bei Ihren komplexen und herausfordernden IT-/TK Vorhaben mit Top-Leistungen zur Seite zu stehen. Wir sind ein inhabergeführtes Beratungsunternehmen. Dies garantiert kurze Entscheidungswege und führt Ihre Projekte mit Engagement und Sorgfalt zum Erfolg.
Adiccon GmbH
Landwehrstraße 54
64293 Darmstadt
Tel: +49 6151 500 777-0
Fax: +49 6151 500 777-99
E-Mail: kontakt(at)adiccon.de
Datum: 23.07.2019 - 11:08 Uhr
Sprache: Deutsch
News-ID 1739490
Anzahl Zeichen: 7775
Kontakt-Informationen:
Ansprechpartner: Martin Stopczynski
Stadt:
Darmstadt
Telefon: 061515007770
Kategorie:
IT Management
Meldungsart: Produktinformation
Versandart: Veröffentlichung
Diese Pressemitteilung wurde bisher 1242 mal aufgerufen.
Die Pressemitteilung mit dem Titel:
"Gegenüberstellung: ISMS nach ISO 27001 oder IT-Grundschutz (BSI) umsetzen?"
steht unter der journalistisch-redaktionellen Verantwortung von
Adiccon GmbH (Nachricht senden)
Beachten Sie bitte die weiteren Informationen zum Haftungsauschluß (gemäß TMG - TeleMedianGesetz) und dem Datenschutz (gemäß der DSGVO).
