Ähnlichkeiten und Unterschiede zwischen ISO 27001 und BS 25999-2

Auf den ersten Blick haben Informationssicherheit und betriebliches Kontinuitätsmanagement nicht viel gemeinsam – man möchte vielleicht anmerken, dass beide mit IT zu tun haben.

Informationssicherheit-Management wird in der internationalen Norm ISO/IEC 27001 am besten definiert, während die britische Norm BS 25999-2 betriebliches Kontinuitätsmanagement festlegt – wenn wir also diese beiden Themen vergleichen wollen, so ist es das Klügste, die Inhalte dieser beiden Normen anzuschauen.

Zunächst einmal ist IT ein wichtiger Teil sowohl der ISO 27001 als auch der BS 25999-2, aber beide Normen drehen sich keineswegs nur um IT – der Schwerpunkt liegt auf organisationseigenen Verfahren und Werten und den damit verbundenen Risiken. Es stimmt, dass IT das wichtigste Instrument ist, um Daten zu verarbeiten. Tatsache bleibt aber, dass die größten Risiken in bösartigen und unbeabsichtigten Aktivitäten von Mitarbeitern bestehen. Daher können die Risiken hinsichtlich der Informationssicherheit oder des betrieblichen Kontinuitätsmanagements nicht allein durch Informationstechnologie gelöst werden. Es ist viel wichtiger, Organisation, Verfahren und Verantwortlichkeiten innerhalb des Unternehmens zu definieren.

Aber was ist Informationssicherheit im Grunde? ISO 27001 definiert sie als „Bewahrung der Vertraulichkeit, Integrität und Verfügbarkeit von Informationen“. Andererseits definiert BS 25999-2 betriebliches Kontinuitätsmanagements als die „strategische und taktische Fähigkeit des Unternehmens, für Vorfälle Störungen des Geschäftsbetriebs zu planen und auf diese zu reagieren, um betriebliche Abläufe auf einem vorab definierten akzeptablen Niveau weiterzuführen“.

Die beiden Normen scheinen sich nicht sehr ähnlich zu sein. Da gibt es jedoch einen sehr ähnlichen Aspekt – Verfügbarkeit. Der Schwerpunkt liegt sowohl bei der Informationssicherheit als auch beim betrieblichen Kontinuitätsmanagement darauf, Informationen für die Mitarbeiter verfügbar zu halten, die sie benötigen – diesbezüglich bietet der Anhang A der ISO 27001 einige Maßnahmen, die sich nur auf das betriebliche Kontinuitätsmanagement beziehen.

Außerdem verlangen beide Normen, dass die Risikoeinschätzung vorgenommen wird, um mögliche Probleme im Zusammenhang mit Informationen zu erkennen. Beide Normen machen zudem ein Dokumentenmanagement, die Durchführung interner Audits, Managementprüfungen sowie Korrektur- und Vorbeugungsmaßnahmen erforderlich. Sollten Sie also bereits über eine Dokumentation für ISO 27001 verfügen, so können sie die gleichen Verfahren auch für BS 25999-2 verwenden (mit nur geringfügigen Änderungen).

Was sind die Unterschiede? Der Hauptunterschied liegt in der Detailgenauigkeit. ISO 27001 deckt einen wesentlich größeren Bereich ab und ist daher bezüglich des betrieblichen Kontinuitätsmanagements nicht sehr genau. Andererseits beschreibt BS 25999-2 detailliert, wie eine Geschäftsauswirkungsanalyse durchzuführen ist, wie Strategien für betriebliches Kontinuitätsmanagement festgelegt werden, welche Inhalte die Pläne für betriebliches Kontinuitätsmanagement haben sollten usw.

Um es nochmals deutlich zu machen: Der springende Punkt ist hier also, dass man sich betriebliches Kontinuitätsmanagements als einen Teil der Informationssicherheit vorstellen kann. In der Praxis bedeutet das, dass Sie bei einer Umsetzung des betrieblichen Kontinuitätsmanagements im Rahmen der ISO 27001 optimalerweise Norm BS 25999-2 als Leitlinie verwenden sollten.

Sie können sich auch unser kostenloses Webinar ISO 27001 & ISO 22301: Why is it better to implement them together? ansehen.

Advisera Dejan Kosutic
Autor
Dejan Kosutic
Leading expert on cybersecurity & information security and the author of several books, articles, webinars, and courses. As a premier expert, Dejan founded Advisera to help small and medium businesses obtain the resources they need to become compliant with EU regulations and ISO standards. He believes that making complex frameworks easy to understand and simple to use creates a competitive advantage for Advisera's clients, and that AI technology is crucial for achieving this.

As an ISO 27001 and NIS 2 expert, Dejan helps companies find the best path to compliance by eliminating overhead and adapting the implementation to their size and industry specifics.
Connect with Dejan: