ISO High Level Structure
für ISO-Normen
Die ISO High Level Structure ist eine übergeordnete Struktur für Anforderungen an Managementsysteme.
Vorteile:
- einheitliche Begriffe sowie Kernthemen,
- leichtere Zertifizierungen unterschiedlicher Normen in einem Unternehmen und
- alle ISO-Kernthemen tragen normenübergreifend die gleichen Kapitelnummern.
ISO/IEC 27001:2022
Grundlagen zur ISO/IEC 27001:2022, die Anforderungen an ein Informationssicherheitsmanagementsystem (ISMS) vorgibt
Das IT-Sicherheitsgesetz 1.0 wurde am 12. Juni 2015 vom Bundestag verabschiedet und sieht zahlreiche Anforderungen zur Einhaltung der Informationssicherheit vor, unter anderem den ISMS-Aufbau nach ISO 27001 oder IT-Grundschutz und Nachweisprüfungen.
Das IT-Sicherheitsgesetz 2.0 trat Anfang 2021 in Kraft Betroffen sind KRITIS*, also bspw. Energieversorger, Anbieter von IT- und Telekommunikation, Finanzdienstleister, Logistik- und Transport-Unternehmen sowie Wasser-/Abwasserbetriebe.
Die ISO/IEC 27001:2022 ist die Folgeversion der ISO/IEC 27001:2013. Seit 2017 ist außerdem die DIN ISO/IEC 27001:2017 als deutsche Übersetzung der ISO/IEC 27001:2013 erhältlich. Die Abschnitte 4 bis 10 der ISO/IEC 27001-Kapitel sind bei einer Zertifizierung Mindestanforderungen.
Der Anhang A, der direkt aus der ISO 27002 abgeleitet wurde und Best Practice – Maßnahmen beim Aufbau von Governance, Risk Management und Compliance vorgibt, ist die eigentlich relevante Substanz bei einem ISMS. Ohne die Maßnahmen aus Anhang A hätte man quasi ein beliebiges Managementsystem ohne besondere Ausrichtung.
BSI Standard 200-1
Der BSI Standard 200-1 ist mit der ISO/IEC 27001 vollständig kompatibel. Der Standard enthält lediglich noch zusätzliche Erklärungen und Umsetzungsbeispiele.
BSI Standard 200-2
Der BSI Standard 200-2 gibt eine Umsetzungsmöglichkeit vor, ein ISMS zu etablieren.
BSI Standard 200-3
Der BSI Standard 200-3 enthält Erläuterungen zur Einführung eines Risikomanagements.
BSI Standard 200-4
Der BSI Standard 200-4 gibt eine Anleitung, um ein Notfallmanagement im Unternehmen aufzubauen.
Gegenüberstellung ISO 27001 und IT-Grundschutz (BSI Standard 200-1)
Einführungsgründe für ein ISMS nach ISO 27001 oder IT-Grundschutz
Die folgende Tabelle verdeutlicht Ihnen die Unterschiede bei der ISMS-Einführung und hilft Ihnen so bei der Entscheidungsfindung zur Auswahl, welches ISMS Sie in Ihrer Organisation aufbauen sollten.
ISMS nach ISO 27001
| Merkmale | Besonderheiten |
|---|---|
| Gültigkeit | international |
| Kundenart | Privatwirtschaft |
| Relevanz | Expansionswunsch |
| Aufgaben-schwerpunkt | Risikomanagement, Anhang A |
| Umsetzung | Best Practices in ISO 27001, freie Wahl bei Umsetzung |
| IT-Sicherheitskonzept | kein Umsetzungszwang |
| Risikoanalyse | zwangsläufig |
| Verbesserung | durch Umsetzung allgemeiner Maßnahmen |
| Zertifizierungsreife | ca. 6 Monate (optimistisch) |
| Zertifizierer | Privatwirtschaft |
ISMS nach BSI Standard 200-1 und IT-Grundschutz-Methodik nach BSI-Standard 200-2
| Merkmale | Besonderheiten |
|---|---|
| Gültigkeit | deutschlandweit |
| Kundenart | Behörden, Banken |
| Relevanz | Teilnahme an Ausschreibungen |
| Aufgaben-schwerpunkt | IT-Sicherheitskonzept, IT-Grundschutz-Kompendium |
| Umsetzung | klare Anforderungen im IT-Grundschutz-Kompendium nach Stand der Technik |
| IT-Sicherheitskonzept | zwangsläufig |
| Risikoanalyse | nur bei fehlenden Grundschutz-Bausteinen oder hohem Schutzbedarf |
| Verbesserung | durch Umsetzung nach Stand der Technik |
| Zertifizierungsreife | ca. 1 Jahr (optimistisch) |
| Zertifizierer | BSI-Auditor |
Kommentarbereich geschlossen.