Kontakt: jacqueline.naumann@ixactly.com

Grundlagen ISMS.

ISO High Level Structure

für ISO-Normen

Die ISO High Level Structure ist eine übergeordnete Struktur für Anforderungen an Managementsysteme.

Vorteile:

  • einheitliche Begriffe sowie Kernthemen,
  • leichtere Zertifizierungen unterschiedlicher Normen in einem Unternehmen und
  • alle ISO-Kernthemen tragen normenübergreifend die gleichen Kapitelnummern.

ISO/IEC 27001:2022 

Grundlagen zur ISO/IEC 27001:2022, die Anforderungen an ein Informationssicherheitsmanagementsystem (ISMS) vorgibt

Das IT-Sicherheitsgesetz 1.0 wurde am 12. Juni 2015 vom Bundestag verabschiedet und sieht zahlreiche Anforderungen zur Einhaltung der Informationssicherheit vor, unter anderem den ISMS-Aufbau nach ISO 27001 oder IT-Grundschutz und Nachweisprüfungen.

Das IT-Sicherheitsgesetz 2.0 trat Anfang 2021 in Kraft  Betroffen sind KRITIS*, also bspw. Energieversorger, Anbieter von IT- und Telekommunikation, Finanzdienstleister, Logistik- und Transport-Unternehmen sowie Wasser-/Abwasserbetriebe.

Die ISO/IEC 27001:2022 ist die Folgeversion der ISO/IEC 27001:2013.  Seit 2017 ist außerdem die DIN ISO/IEC 27001:2017 als deutsche Übersetzung der ISO/IEC 27001:2013 erhältlich.  Die Abschnitte 4 bis 10 der ISO/IEC 27001-Kapitel sind bei einer Zertifizierung Mindestanforderungen.

Der Anhang A, der direkt aus der ISO 27002 abgeleitet wurde und Best Practice – Maßnahmen beim Aufbau von Governance, Risk Management und Compliance vorgibt, ist die eigentlich relevante Substanz bei einem ISMS. Ohne die Maßnahmen aus Anhang A hätte man quasi ein beliebiges Managementsystem ohne besondere Ausrichtung.

BSI Standard 200-1

Der BSI Standard 200-1 ist mit der ISO/IEC 27001 vollständig kompatibel. Der Standard enthält lediglich noch zusätzliche Erklärungen und Umsetzungsbeispiele.

BSI Standard 200-2

Der BSI Standard 200-2 gibt eine Umsetzungsmöglichkeit vor, ein ISMS zu etablieren.

BSI Standard 200-3

Der BSI Standard 200-3 enthält Erläuterungen zur Einführung eines Risikomanagements.

BSI Standard 200-4

Der BSI Standard 200-4 gibt eine Anleitung, um ein Notfallmanagement im Unternehmen aufzubauen.


Gegenüberstellung  ISO 27001 und IT-Grundschutz (BSI Standard 200-1)

Einführungsgründe für ein ISMS nach ISO 27001 oder IT-Grundschutz

Die folgende Tabelle verdeutlicht Ihnen die Unterschiede bei der ISMS-Einführung und hilft Ihnen so bei der Entscheidungsfindung zur Auswahl, welches ISMS Sie in Ihrer Organisation aufbauen sollten.

 

ISMS nach ISO 27001

Merkmale Besonderheiten
Gültigkeit international
Kundenart Privatwirtschaft
Relevanz Expansionswunsch
Aufgaben-schwerpunkt Risikomanagement, Anhang A
Umsetzung Best Practices in ISO 27001, freie Wahl bei Umsetzung
IT-Sicherheitskonzept kein Umsetzungszwang
Risikoanalyse zwangsläufig
Verbesserung durch Umsetzung allgemeiner Maßnahmen
Zertifizierungsreife ca. 6 Monate (optimistisch)
Zertifizierer Privatwirtschaft

 

ISMS nach BSI Standard 200-1 und IT-Grundschutz-Methodik nach BSI-Standard 200-2

Merkmale Besonderheiten
Gültigkeit deutschlandweit
Kundenart Behörden, Banken
Relevanz Teilnahme an Ausschreibungen
Aufgaben-schwerpunkt IT-Sicherheitskonzept, IT-Grundschutz-Kompendium
Umsetzung klare Anforderungen im IT-Grundschutz-Kompendium nach Stand der Technik
IT-Sicherheitskonzept zwangsläufig
Risikoanalyse nur bei fehlenden Grundschutz-Bausteinen oder hohem Schutzbedarf
Verbesserung durch Umsetzung nach Stand der Technik
Zertifizierungsreife ca. 1 Jahr (optimistisch)
Zertifizierer BSI-Auditor

Zurück zur Übersicht

nach oben
Ihr Partner für Informationssicherheit.