Gegenüberstellung
ISO 27001 auf der Basis von IT-Grundschutz | ISO 27001 |
---|---|
Spezifiziert die Anforderungen für eine Einführung, Implementierung sowie den Betrieb und die kontinuierliche Verbesserung eines dokumentierten ISMS und gibt praktische Umsetzungsempfehlungen | Spezifiziert die Anforderungen für eine Einführung, Implementierung sowie den Betrieb und die Verbesserung eines dokumentierten ISMS |
Wesentlich aussagekräftiger, da neben der konzeptionellen Ebene auch die praktische Umsetzung von Interesse ist: Prüfung von konkreten infrastrukturellen, technischen, personellen und organisatorischen Maßnahmen | Überwiegend auf Prozess- und Konzeptebene |
Umfang: > 4000 Seiten konkrete Hinweise | Umfang: ca. 90 Seiten allgemeine Empfehlungen |
> 1100 Maßnahmen | ca. 150 Maßnahmen (controls) |
Konkrete Maßnahmenempfehlungen mit Umsetzungshilfen | Überwiegend konzeptionelle Anforderungen |
Maßnahmenorientiert: Konkrete Anweisungen um Informationssicherheitskonzepte umzusetzen. Enthält das Erfordernis der regelmäßigen Überprüfung aller etablierten Sicherheitsmaßnahmen. |
Prozessorientiert: Enthält die Beschreibung des Informationssicherheitsmanagements, aber keine konkreten Sicherheitsmaßnahmen. Enthält das Erfordernis der regelmäßigen Überprüfung der Prozesse. |
Risikoanalyse für einen normalen Schutzbedarf ist impliziert, separate Risikoanalyse nur für ein Delta (für höheren Schutzbedarf) erforderlich | Komplette Risikoanalyse ist vorgeschrieben |
Migrationspfad durch Testate (Einstiegsstufe, Aufbaustufe) bis zur Zertifizierung | Kein Stufenkonzept für die Zertifizierung |
3 Jahre Gültigkeit mit jährlichem Überwachungsaudit | 3 Jahre Gültigkeit mit jährlichem »Continuing Assessment Visits« |