Security Audit für KMU – Teil 2

Wie bringt man die Standards ISO 27001 und IT-Grundschutz unter einen Hut?

30.11.2010 | Autor / Redakteur: Dr. Markus a Campo / Stephan Augsten

Unternehmen können beim Security-Audit davon profitieren, dass sie ISO 27001 und IT-Grundschutz miteinander verzahnen.
Unternehmen können beim Security-Audit davon profitieren, dass sie ISO 27001 und IT-Grundschutz miteinander verzahnen.

Für die Planung und Durchführung von Audits kann es von Vorteil sein, die Stärken unterschiedlicher Standards auszunutzen. Hierfür bieten sich ISO 27001 und BSI-Grundschutzkataloge an, da sie ähnliche Problematiken verschieden detailliert behandeln. Dieser Beitrag beleuchtet, wie man die Security-Standards sinnvoll kombinieren kann.

Eine Vorgehensweise, die ein Grobkonzept nach ISO 27001 mit detaillierten Anforderungen nach den BSI-Grundschutzkatalogen verbindet, vergrößert die Flexibilität bei der Zusammenstellung von Prüfungskatalogen. Dabei wird vermieden, sich zu sehr in das starre Korsett der BSI-Kataloge einzuschnüren.

Um eine Methode zur Kombination der Standards zu entwickeln, ist zunächst ein Blick auf den Aufbau der beiden Normen nötig. Dabei wird deutlich, dass es Berührungspunkte gibt, die zu Synergieeffekten bei Vorbereitung und Durchführung von Audits führen.

ISO 27001 – kurz und knapp

Die ISO-Norm 27001 erhebt den Anspruch, alle Belange der Informationssicherheit abzudecken. Es gibt darin allerdings nur wenige Zielvorgaben, die je nach Unternehmen oder Behörde ganz anders umgesetzt werden können.

Diese als Maßnahmenziele beziehungsweise Maßnahmen bezeichneten Vorgaben sind im Anhang A der ISO-Norm untergebracht. Beispiele für Maßnahmenziele sind etwa die Klassifizierung von Informationen oder die Benutzerverwaltung von Informationssystemen.

Jedem Maßnahmenziel sind eine oder mehrere Maßnahmen zugeordnet, mit denen sich das jeweilige Ziel erreichen lässt. So hat das Maßnahmenziel der Benutzerverantwortung drei zugeordnete Maßnahmen, die sich mit der Verwendung von Passwörtern, dem Umgang mit unbeaufsichtigten Systemen sowie der Ordnung im Büro und auf dem PC-Desktop beschäftigen.

Diese Maßnahmen sind allerdings viel weniger konkret als die in den BSI-Katalogen, weshalb bei der Vorbereitung eines Audits nach der ISO-Norm Feinarbeit nötig ist. Um diese Feinarbeit zu erleichtern und abzukürzen, können die BSI-Kataloge als Inspirationsquelle genutzt werden.

Inhalt

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 2048553 / Standards)