„BSI & ISO Campus 2014“ der Vogel IT-Akademie

BSI IT-Grundschutz oder ISO 27001 – ein Ziel, zwei Wege

Seite: 2/2

Firma zum Thema

Abstrakt versus konkret

Ein wesentlicher Unterschied zwischen den Standards ergibt sich daraus, dass sich ISO 27001 an Geschäftsprozessen orientiert. Entsprechend abstrakter und offener ist die Norm gehalten, die Unternehmen mehr Freiheitsgrade bei der Umsetzung eines ISMS lässt. Der BSI-Grundschutz ist dagegen technisch ausgerichtet und beschreibt konkret und detailliert, wie Organisationen bei der Minimierung von IT-Risiken vorgehen sollten. Während die ISO-Norm kaum 30 Seiten füllt, umfassen die Grundschutzkataloge mehr als 350 Seiten.

Für welche der beiden Normen sich ein Unternehmen beim ISMS und bei dessen Zertifizierung auch entscheidet, ein Blick auf die Alternative lohne sich in jedem Fall, empfahl a Campo den Teilnehmern. „Unabhängig von einer Zertifizierung ist es sinnvoll, die eigene Sicherheit in regelmäßigen Abständen zu überprüfen.“ Solche internen Audits dienten dazu, das ISMS jeweils den aktuellen Security-Anforderungen anzupassen und es auf die Weise kontinuierlich zu verbessern.

Notfallmanagement ist Aufgabe der Geschäftsleitung

Die Notfallplanung wird in Unternehmen oft der IT-Organisation zugeordnet. „Aber richtiges Notfallmanagement entscheidet über den Fortbestand des Unternehmens mit und sollte deshalb ein Thema der Geschäftsleitung sein“, lautete eine Kernbotschaft von Beraterin Reiss am zweiten Tag des „BSI & ISO Campus 2014“.

Sowohl die ISO-Norm 27001 als auch der BSI-Grundschutz fordern ein effektives Notfallmanagement, ohne das ein ISMS gar nicht zertifiziert werden kann. Sinn und Zweck des Notfallmanagements ist es, das Risiko von Notfällen zu reduzieren. Der Referentin zufolge werden Notfälle häufig auf den Ausfall von IT-Komponenten reduziert und die IT-Abteilung damit beauftragt, ein Notfallhandbuch zu erstellen.

IT-Notfallmanagement muss aber stets im unternehmensweiten Kontext betrachtet werden. In erster Linie geht es beim Notfallmanagement darum, „die für das Unternehmen lebensnotwendigen Geschäftsprozesse abzusichern“, wie Reiss betonte. „Was ein Notfall ist, muss daher immer individuell betrachtet und auf der Managementebene beantwortet werden.“

Dokumentation ist Pflicht

Alle Standards fordern die Erstellung und Pflege von Dokumenten, die bei einer Zertifizierung dem Auditor vorgelegt werden müssen und die er als Basis für seine Prüfungen nimmt. Noch wichtiger sind Dokumente aber laut der Expertin als Arbeitsgrundlage. Auf dem Notfallkonzept beruht beispielsweise die Umsetzung aller Maßnahmen, und für die Notfallbewältigung sind schriftliche Anweisungen unerlässlich. Denn Notfallpläne im Kopf zu haben, reicht nicht aus.

Damit die Anweisungen stets aktuell sind, geben sowohl der BSI IT-Grundschutz als auch der ISO-Standard vor, wie wirksame Dokumentationsprozesse auszusehen haben. Die ISO-Normen gehen in den aktuellen Versionen sogar noch einen Schritt weiter und fordern ein durch die Geschäftsleitung gesteuertes Dokumentationsmanagement.

(ID:43121089)