Vorbericht zum BSI & ISO Campus 2014 – Tag 1

Unterschiede zwischen IT-Grundschutz und ISO 27001

| Autor / Redakteur: Markus a Campo* / Stephan Augsten

Security-Insider: Weshalb ist es sinnvoll sich mit den BSI-Standards und zusätzlich den entsprechenden ISO-Norman zu beschäftigen?

Dr. Markus a Campo: Zur Einführung und Umsetzung von Informationssicherheit reicht prinzipiell die Vorgehensweise nach IT-Grundschutz (BSI) oder den ISO-Normen aus. Beide Werke unterscheiden sich nicht so sehr in ihren Zielen und prinzipiellen Vorgehensweisen, im Detail gibt es aber große Unterschiede. So beschäftigen sich die ISO-Standards mehr mit dem Management der Informationssicherheit (ISMS), die BSI-Vorgaben gehen dagegen sehr in Einzelheiten. Eine Betrachtung beider Standards hilft bei der Auswahl der für die eigene Organisation besten Vorgaben und hilft bei der Umsetzung.

Security-Insider: Hilft dieser Vergleich zwischen den Standards auch, wenn ich mein ISMS schon eingeführt habe.

a Campo: Ja, dann vor allem unter dem Gesichtspunkt der regelmäßigen Prüfung der Umsetzung des ISMS. Selbst wenn ich noch nicht zertifiziert bin oder das auch gar nicht anstrebe, sind interne Audits erforderlich, um den Zustand meines ISMS zu kontrollieren und Verbesserungen auszuarbeiten. Und gerade bei internen Audits lassen sich BSI- und ISO-Vorgaben sehr gut kombinieren und zu Synergieeffekten nutzen.

Security-Insider: Wie sieht es denn bei der Risikoanalyse aus? Die benötige ich bei einer Vorgehensweise nach IT-Grundschutz doch nicht.

a Campo: Bei einer Vorgehensweise nach IT-Grundschutz benötige ich die Risikoanalyse nur in bestimmten Fällen, etwa wenn kein passender BSI-Baustein zur Verfügung steht oder ich höhere Anforderungen an die Informationssicherheit habe. Die ISO 27001 verlangt immer eine Risikoanalyse und schlägt dazu die ISO 27005 vor. Das ist aber nur ein Vorschlag, keine Verpflichtung. Es ist möglich, sich für die Risikoanalyse in der ISO 27001 vom BSI-Grundschutz inspirieren zu lassen und umgekehrt.

Security-Insider: Die ISO 27001 ist wenig konkret, wenn es um die Angabe detaillierter Maßnahmen zur Sicherheit geht. Wie können mir da die BSI-Grundschutzkataloge weiterhelfen?

a Campo: Die Maßnahmen zur Vergrößerung der Informationssicherheit gehen in der ISO 27001 nicht sehr ins Detail. Da geht die ISO 27002 mit ihren Best-Practices-Ansätzen etwas mehr in die Tiefe. Allerdings ist es sehr empfehlenswert, sich bei der Formulierung von konkreten Vorgaben von den BSI-Grundschutzkatalogen und den anderen relevanten BSI-Dokumenten inspirieren zu lassen.

Security-Insider: Was ist der besondere Vorteil des BSI & ISO Campus?

a Campo: Beide Referenten kennen sich in der Theorie gut aus und haben darüber hinaus jahrelange Praxiserfahrung mit der Umsetzung der beiden Normen. Dieses Know-how ist Grundlage des BSI & ISO Campus 2014 , so dass die Inhalte beider Tage unmittelbar in die eigene Arbeit einfließen können.

* Markus a Campo studierte Technische Informatik an der RWTH Aachen und promovierte dort 1991. Seit 1997 arbeitet er als Berater, Autor und Schulungsreferent mit dem Schwerpunkt IT-Sicherheit. Seine Themen sind: Netzwerksicherheit allgemein, Security-Audits, IT-Forensik, Smartphones, Sicherheit von Web-Applikationen sowie die Standards BSI-Grundschutzkataloge und ISO 27001. Er ist von der IHK Aachen öffentlich bestellter und vereidigter Sachverständiger mit dem Bestellungstenor »Systeme und Anwendungen der Informationsverarbeitung, insbesondere im Bereich IT-Sicherheit«. Außerdem ist er zertifizierter ISO 27001 Lead Auditor.

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 42944845 / Standards)