Suchen

Security Audit für KMU – Teil 2 Wie bringt man die Standards ISO 27001 und IT-Grundschutz unter einen Hut?

Autor / Redakteur: Dr. Markus a Campo / Stephan Augsten

Für die Planung und Durchführung von Audits kann es von Vorteil sein, die Stärken unterschiedlicher Standards auszunutzen. Hierfür bieten sich ISO 27001 und BSI-Grundschutzkataloge an, da sie ähnliche Problematiken verschieden detailliert behandeln. Dieser Beitrag beleuchtet, wie man die Security-Standards sinnvoll kombinieren kann.

Firma zum Thema

Unternehmen können beim Security-Audit davon profitieren, dass sie ISO 27001 und IT-Grundschutz miteinander verzahnen.
Unternehmen können beim Security-Audit davon profitieren, dass sie ISO 27001 und IT-Grundschutz miteinander verzahnen.
( Archiv: Vogel Business Media )

Eine Vorgehensweise, die ein Grobkonzept nach ISO 27001 mit detaillierten Anforderungen nach den BSI-Grundschutzkatalogen verbindet, vergrößert die Flexibilität bei der Zusammenstellung von Prüfungskatalogen. Dabei wird vermieden, sich zu sehr in das starre Korsett der BSI-Kataloge einzuschnüren.

Um eine Methode zur Kombination der Standards zu entwickeln, ist zunächst ein Blick auf den Aufbau der beiden Normen nötig. Dabei wird deutlich, dass es Berührungspunkte gibt, die zu Synergieeffekten bei Vorbereitung und Durchführung von Audits führen.

ISO 27001 – kurz und knapp

Die ISO-Norm 27001 erhebt den Anspruch, alle Belange der Informationssicherheit abzudecken. Es gibt darin allerdings nur wenige Zielvorgaben, die je nach Unternehmen oder Behörde ganz anders umgesetzt werden können.

Diese als Maßnahmenziele beziehungsweise Maßnahmen bezeichneten Vorgaben sind im Anhang A der ISO-Norm untergebracht. Beispiele für Maßnahmenziele sind etwa die Klassifizierung von Informationen oder die Benutzerverwaltung von Informationssystemen.

Jedem Maßnahmenziel sind eine oder mehrere Maßnahmen zugeordnet, mit denen sich das jeweilige Ziel erreichen lässt. So hat das Maßnahmenziel der Benutzerverantwortung drei zugeordnete Maßnahmen, die sich mit der Verwendung von Passwörtern, dem Umgang mit unbeaufsichtigten Systemen sowie der Ordnung im Büro und auf dem PC-Desktop beschäftigen.

Diese Maßnahmen sind allerdings viel weniger konkret als die in den BSI-Katalogen, weshalb bei der Vorbereitung eines Audits nach der ISO-Norm Feinarbeit nötig ist. Um diese Feinarbeit zu erleichtern und abzukürzen, können die BSI-Kataloge als Inspirationsquelle genutzt werden.

Inhalt

  • Seite 1: ISO 27001 - kurz und knapp
  • Seite 2: BSI IT-Grundschutz – Baukasten-Prinzip
  • Seite 3: Das Bindeglied

(ID:2048553)