ISO 27001/ISO 22301 Wissensdatenbank

'. get_the_author_meta('first_name'). ' '.get_the_author_meta('last_name').'

ISO 27001 im Vergleich zu ISO 27002

Wenn Sie zufällig auf ISO 27001 und ISO 27002 stießen, stellten Sie wahrscheinlich fest, dass ISO 27002 viel detaillierter, viel präziser ist – was ist dann der Zweck von ISO 27001?

Vor allem können Sie nicht für ISO 27002 zertifiziert werden, da es keine Management-Norm ist. Und was bedeutet eine Management-Norm? Es bedeutet, dass eine solche Norm definiert, wie ein System zu betreiben ist und im Falle von ISO 27001 definiert er das Informationssicherheits-Managementsystem (ISMS) – daher ist eine Zertifizierung für ISO 27001 möglich.

Dieses Managementsystem bedeutet, dass die Informationssicherheit geplant, implementiert, überwacht, überprüft und verbessert werden muss. Es bedeutet, dass das Management seine klaren Verantwortlichkeiten hat, dass Ziele gesetzt, gemessen und überprüft werden müssen, dass interne Audits durchgeführt werden müssen, und so fort. Alle diese Elemente sind in ISO 27001 definiert, in ISO 27002 jedoch nicht.

Die Unterschiede zwischen den Kontrollen in ISO 27002 und ISO 27001

blogpost-banner-bia-de

Die Kontrollen in ISO 27002 haben dieselbe Bezeichnung wie in Anhang A von ISO 27001. In ISO 27002 wird Kontrolle 6.1.2 beispielsweise als „Aufgabentrennung“ bezeichnet, in ISO 27001 als „A.6.1.2 Aufgabentrennung.“ Der Unterschied liegt jedoch in der Detailgenauigkeit – im Durchschnitt erklärt ISO 27002 ein Steuerelement auf einer ganzen Seite,

Und zu guter Letzt ist der Unterschied, dass ISO 27002 keine Unterscheidung zwischen Kontrollen, die für eine bestimmte Organisation anwendbar sind und jenen, die das nicht sind, macht. ISO 27001 hingegen schreibt eine vorzunehmende Risikobewertung vor, um für jede Kontrolle zu ermitteln, ob es notwendig ist, die Risiken zu reduzieren und ist dies der Fall, in welchem Ausmaß dies anzuwenden ist.

Es stellt sich die Frage: warum ist es so, dass diese zwei Normen getrennt existieren, warum wurden sie nicht zusammengeführt, um damit die positiven Seiten beider Normen hervorzubringen? Die Antwort ist die Benutzerfreundlichkeit – eine einzelne Norm wäre zu komplex und zu groß für eine praktische Anwendung.

Welchen Standard aus der ISO 27000-Serie verwenden und wann

Jede Norm der ISO 27000-Serie wurde mit einem bestimmten Fokus entworfen – wenn Sie in Ihrer Organisation die Grundlagen der Informationssicherheit bilden und ihren Rahmen ausarbeiten möchten, sollten Sie ISO 27001 verwenden, wenn Sie Kontrollen implementieren möchten, sollten Sie ISO 27002 verwenden, wenn Sie eine Risikobewertung und Risikobehandlung durchführen möchten, sollten Sie ISO 27005 verwenden, usw.

Als Schlussfolgerung könnte man sagen, dass ohne die in ISO 27002 vorhandenen Details die im Anhang A von ISO 27001 definierten Kontrollen nicht implementiert werden könnten. Allerdings würde ISO 27002 ohne den Management-Rahmen von ISO 27001 nur eine isolierte Bemühung einiger weniger Sicherheitsenthusiasten, ohne Akzeptanz des Managements, bleiben und damit ohne wirklichen Einfluss auf die Organisation sein.

Sie können sich auch unser Seminar ISO 27001:2013 Foundations ansehen.

Wenn Ihnen dieser Artikel gefallen hat, können Sie Updates abonnieren

Weiten Sie Ihre Kenntnisse mit unseren kostenlosen Ressourcen zu den Normen ISO 27001 und ISO 22301 aus.

Sie können sich jederzeit abmelden.

Weitere Informationen darüber, welche persönlichen Daten wir sammeln, warum wir diese benötigen, was wir mit ihnen machen, wie lange wir sie aufbewahren und welche Rechte Sie haben, finden Sie in dieser Datenschutzerklärung.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

KOSTENLOSE ISO 27001/22301-BERATUNG
Dejan Kosutic
Führender Experte für ISO 27001/ISO 22301, Advisera

ERHALTEN SIE KOSTENLOSE BERATUNG

Upcoming free webinar
ISO 27001/ISO 22301: The certification process
Wednesday – October 23, 2019

UNSERE KUNDEN

UNSERE PARTNER

  • Advisera ist ein von Exemplar Global zertifizierter TPECS-Anbieter für die IS, QM, EM, TL und AU Kompetenzeinheiten.
  • ITIL® ist ein eingetragenes Warenzeichen von AXELOS Limited. Wird unter der Lizenz von AXELOS Limited verwendet. Alle Rechte vorbehalten.
  • DNV GL Business Assurance ist einer der führenden Anbieter von akkreditierten Managementsystemzertifizierungen.