Gegenüberstellung
| ISO 27001 auf der Basis von IT-Grundschutz | ISO 27001 |
|---|---|
| Spezifiziert die Anforderungen für eine Einführung, Implementierung sowie den Betrieb und die kontinuierliche Verbesserung eines dokumentierten ISMS und gibt praktische Umsetzungsempfehlungen | Spezifiziert die Anforderungen für eine Einführung, Implementierung sowie den Betrieb und die Verbesserung eines dokumentierten ISMS |
| Wesentlich aussagekräftiger, da neben der konzeptionellen Ebene auch die praktische Umsetzung von Interesse ist: Prüfung von konkreten infrastrukturellen, technischen, personellen und organisatorischen Maßnahmen | Überwiegend auf Prozess- und Konzeptebene |
| Umfang: > 4000 Seiten konkrete Hinweise | Umfang: ca. 90 Seiten allgemeine Empfehlungen |
| > 1100 Maßnahmen | ca. 150 Maßnahmen (controls) |
| Konkrete Maßnahmenempfehlungen mit Umsetzungshilfen | Überwiegend konzeptionelle Anforderungen |
| Maßnahmenorientiert: Konkrete Anweisungen um Informationssicherheitskonzepte umzusetzen. Enthält das Erfordernis der regelmäßigen Überprüfung aller etablierten Sicherheitsmaßnahmen. |
Prozessorientiert: Enthält die Beschreibung des Informationssicherheitsmanagements, aber keine konkreten Sicherheitsmaßnahmen. Enthält das Erfordernis der regelmäßigen Überprüfung der Prozesse. |
| Risikoanalyse für einen normalen Schutzbedarf ist impliziert, separate Risikoanalyse nur für ein Delta (für höheren Schutzbedarf) erforderlich | Komplette Risikoanalyse ist vorgeschrieben |
| Migrationspfad durch Testate (Einstiegsstufe, Aufbaustufe) bis zur Zertifizierung | Kein Stufenkonzept für die Zertifizierung |
| 3 Jahre Gültigkeit mit jährlichem Überwachungsaudit | 3 Jahre Gültigkeit mit jährlichem »Continuing Assessment Visits« |
