Suchen

„BSI & ISO Campus 2014“ der Vogel IT-Akademie BSI IT-Grundschutz oder ISO 27001 – ein Ziel, zwei Wege

| Redakteur: Michael Hase

Beim Sicherheitsmanagement haben Unternehmen, aber auch Verwaltungen und Organisationen die Wahl zwischen dem IT-Grundschutz des BSI und der ISO-Norm 27001. Der „BSI & ISO Campus 2014“ zeigte Gemeinsamkeiten und Unterschiede der beiden Sicherheitstandards auf.

Unabhängig von einer Zertifizierung nach BSI oder ISO ist es sinnvoll, die IT-Sicherheit eines Unternehmens in regelmäßigen Abständen zu überprüfen.
Unabhängig von einer Zertifizierung nach BSI oder ISO ist es sinnvoll, die IT-Sicherheit eines Unternehmens in regelmäßigen Abständen zu überprüfen.
(Bild: © Steven Jamroofer.com)

Beim Virenschutz werden die Unterschiede zwischen den Standards besonders augenfällig: Die IT-Grundschutzkataloge des Bundesamts für Sicherheit in der Informationstechnik (BSI) handeln die „Auswahl eines geeigneten Viren-Schutzprogramms“ auf fast vier Seiten ab. Dagegen beschränkt sich die ISO-Norm 27001 unter dem gleichen Aspekt auf einen lapidaren Satz: „Es sind Erkennungs-, Präventions- und Wiederherstellungsmaßnahmen zum Schutz vor Malware in Verbindung mit einer angemessenen Sensibilisierung der Benutzer zu implementieren.“

Dr. Markus a Campo erläuterte das Sicherheitsmanagement anhand von BSI- und ISO-Standard.
Dr. Markus a Campo erläuterte das Sicherheitsmanagement anhand von BSI- und ISO-Standard.
(Bild: VBM-Archiv)

Wer ein Sicherheits- und Notfallmanagement im Unter­nehmen etablieren möchte, hat die Qual der Wahl zwischen zwei Normen: Eine Zertifizierung ist entweder nach BSI IT-Grundschutz oder nach dem inter­nationalen Standard ISO 27001 möglich. Um diesen Optionen angemessen Rechnung zu tragen, erweiterte die Vogel IT-Akademie den „BSI Campus“ in diesem Jahr zum „BSI & ISO Campus 2014“. Hauptziel des zweitägigen Workshops war es, den Teilnehmern die Gemeinsamkeiten und Unterschiede der beiden Normen zu vermitteln und ihnen aufzuzeigen, wie sie Standards bestmöglich für die Security-Anforderungen ihrer Organisation nutzen können.

Am ersten Tag führte der Aachener Berater und Sicherheitsexperte Dr. Markus a Campo in die Thematik ein und stellte die beiden Standards ausführlich dar. Der zweite Tag widmete sich dem Thema Notfallmanagement, das von der Trainerin Manuela Reiss, Eigentümerin des Dokumentations-Spezialisten Dokuit aus dem hessischen Limeshain, behandelt wurde.

Zu den vier Workshops, die von Mitte November bis Anfang Dezember in Frankfurt, Hamburg, München und Neuss stattfanden, kamen insgesamt rund 40 IT-Profis. Deren Vorwissen hinsichtlich eines auf Standards basierenden Sicherheits- und Notfallmanagements war unterschiedlich ausgeprägt: Von Security-Beauftragten, die selbst als Auditoren tätig sind, bis zu IT-Managern, die ihr Unternehmen erstmals auf eine Zertifizierung vorbereiten, reichte das Spektrum. Gerade aus den unterschiedlichen Voraussetzungen ergaben sich Anknüpfungspunkte für einen spannenden Austausch unter den Teilnehmern.

Große Unterschiede im Detail

IT-Grundschutz des BSI und ISO 27001 sind vom Ansatz her kompatibel, wie a Campo ausführte. Beide können für ein „Information Security Management System (ISMS)“ genutzt werden, mit dem sich Risiken für die IT ermitteln und durch geeignete Maßnahmen auf ein akzeptables Maß reduzieren lassen. „Sie unterscheiden sich nicht so sehr in ihren Zielen und prinzipiellen Vorgehensweisen“, erläuterte der Referent. „Im Detail gibt es aber große Unterschiede.“

So sind nach beiden Standards zwar Zertifizierungen möglich. Die dafür erforderlichen Vorgehensweisen und die Referenzdokumente weichen allerdings erheblich voneinander ab. Daher sollten Organisationen frühzeitig klären, welcher Standard für sie infrage kommt.

Worauf es beim Notfallmanagement in erster Linie ankommt, lesen Sie auf der nächsten Seite.

(ID:43121089)