In this thesis, the two standards for information security (ISO/IEC 27000 and BSI IT-Grundschutz) will be briefly described in order to identify similarities and differences.
The first chapter briefly describes the ISO/IEC 27000 family. The second chapter describes the BSI IT-Grundschutz standard. The third chapter compares the two standards in order to explain their similarities and differences. This is followed by a brief conclusion.
The international series of standards comprises several individual works that have been or will be successively published. Whenever ISO/IEC 27000 is mentioned, this always refers to the entire series of standards with all the standards contained therein. Probably the most widely used documents in this series of standards are ISO/IEC 27001, which specifies the minimum requirements for an information security management system (ISMS), and ISO/IEC 27002, which specifies Annex A of ISO/IEC 27001 and defines further information on the individual controls (Code of Practice).
Inhaltsverzeichnis
- List of illustrations
- Foreword
- 1. Brief description of the ISO/IEC 27000 family
- 2. Brief presentation BSI - IT-Grundschutz
- 3. Comparison of both standards
- 3.1 Similarities
- 3.2 Differences
- 3.3 Graphical representation of the comparison
- 4. Conclusion
- Bibliography
Zielsetzung und Themenschwerpunkte
Diese Arbeit befasst sich mit den zwei Standards für Informationssicherheit, ISO/IEC 27000 und BSI IT-Grundschutz. Die Zielsetzung ist es, Gemeinsamkeiten und Unterschiede zwischen diesen Standards aufzuzeigen. Dabei wird die ISO/IEC 27000 Familie kurz beschrieben und der BSI IT-Grundschutz vorgestellt. Anschließend werden die beiden Standards in Bezug auf verschiedene Aspekte verglichen, um ihre Gemeinsamkeiten und Unterschiede zu verdeutlichen.
- Einrichtung eines Informationssicherheitsmanagementsystems (ISMS)
- Anwendbarkeit und Harmonisierung der Standards
- Risikomanagement und Sicherheitskontrollen
- Komplexität und Implementierung
- Spezifische Anforderungen und Kosten
Zusammenfassung der Kapitel
1. Brief description of the ISO/IEC 27000 family
Das Kapitel beschreibt die internationale Normenreihe ISO/IEC 27000, die aus verschiedenen Einzelwerken besteht. Die wichtigsten Dokumente sind ISO/IEC 27001, die die Mindestanforderungen an ein ISMS festlegt, und ISO/IEC 27002, die den Anhang A von ISO/IEC 27001 spezifiziert und weitere Informationen zu den einzelnen Kontrollen bietet. Die Normenreihe unterscheidet zwischen normativen und informativen Standards. ISO/IEC 27001 verfolgt einen risikobasierten Ansatz und zielt darauf ab, die kontinuierliche Verbesserung des ISMS durch den Deming-Zyklus (PDCA) zu gewährleisten. Die 2022er Version von ISO/IEC 27002 enthält 96 Kontrollen, die in vier Kategorien unterteilt sind: Organisatorische Kontrollen, Personenkontrollen, Physische Kontrollen und Technologische Kontrollen.
2. Brief presentation BSI - IT-Grundschutz
Dieses Kapitel stellt den BSI IT-Grundschutz vor, ein spezifisches Prozessmodell, das fertige Risikoanalysen für bestimmte Werte oder Anwendungsszenarien in der öffentlichen Verwaltung bietet. Der IT-Grundschutz verfolgt einen ganzheitlichen Ansatz und umfasst infrastrukturelle, organisatorische, personelle und technische Sicherheitsanforderungen. Er besteht aus dem IT-Grundschutz-Kompendium und den BSI-Standards. Das IT-Grundschutz-Kompendium ist in Schichten von Bausteinen (Schichtenmodell) gegliedert, die den systemorientierten oder prozessorientierten Bausteinen zugeordnet werden können. Die Prozess-orientierten Bausteine beinhalten ISMS, ORP, CON, OPS und DER, während die systemorientierten Bausteine in die Schichten INF, NET, SYS, APP und IND unterteilt sind. Jeder Baustein im IT-Grundschutz-Kompendium enthält eine kurze Beschreibung des Themas und Ziels, eine Abgrenzung von anderen Bausteinen, Gefahren, die für den Baustein relevant sein könnten, sowie die spezifischen Sicherheitsanforderungen.
3. Comparison of both standards
3.1 Similarities
Dieses Kapitel beschreibt die Gemeinsamkeiten zwischen ISO/IEC 27000 und BSI IT-Grundschutz. Beide Standards bieten Empfehlungen für Maßnahmen zur Einführung, zum Betrieb, zur Überprüfung und letztendlich zur Verbesserung eines ISMS. Sie sind sowohl für öffentliche als auch private Organisationen jeder Größe anwendbar. Beide Standards verfolgen einen kontinuierlichen Verbesserungsprozess nach dem PDCA-Zyklus und sind zertifizierbar.
3.2 Differences
Die Unterschiede zwischen den beiden Standards werden in diesem Kapitel näher erläutert. ISO 27001/27002 ist ein international anerkannter Standard, der Maßnahmen nur in abstrakten, d.h. generischen Begriffen empfiehlt. Der BSI IT-Grundschutz hingegen definiert ein spezifisches Prozessmodell, indem er fertige Risikoanalysen für bestimmte Werte und Anwendungsszenarien in der öffentlichen Verwaltung bietet. Die Empfehlungen sind sehr spezifisch und handlungsorientiert. ISO 27001/27002 erfordert eine vollständige Risikoanalyse, während der IT-Grundschutz die Risiken bereits in den jeweiligen Bausteinen für Objekte in der Kategorie "normale" Schutzanforderung berücksichtigt. ISO 27001/27002 besteht aus ca. 100 Seiten mit 93 Kontrollen, während der IT-Grundschutz insgesamt mehr als 4000 Seiten umfasst. ISO 27001/27002 erfordert die Erstellung von Pflichtdocumenten ohne exakte Spezifikationen, während der IT-Grundschutz spezifiziert, wie die Pflichtdocumente aussehen müssen und welche Inhalte in den jeweiligen Dokumenten verarbeitet werden müssen. ISO/IEC 27000 ist kostenpflichtig, während der IT-Grundschutz im Wesentlichen kostenlos ist. Der IT-Grundschutz definiert den Stand der Technik im IT-Grundschutz-Kompendium, während ISO 27001/27002 den Stand der Technik nicht explizit definiert. Der IT-Grundschutz wird jährlich aktualisiert, während ISO/IEC 27001/27002 etwa alle vier Jahre aktualisiert wird. Die Sicherheitskontrollen in ISO 27001/27002 beziehen sich auf den Schutz der Privatsphäre personenbezogener Daten, den Schutz von Rechten an geistigem Eigentum und den Schutz von Unternehmensdaten. Im IT-Grundschutz werden die Sicherheitskontrollen innerhalb des jeweiligen Bausteins definiert. Die Implementierungsmethode unterscheidet sich ebenfalls: IT-Grundschutz basiert auf der Bottom-up-Methode, während ISO 27001/27002 die Top-down-Methode erfordert.
Schlüsselwörter
Die Schlüsselwörter und Schwerpunktthemen des Textes umfassen ISO/IEC 27000, BSI IT-Grundschutz, Informationssicherheit, ISMS, Risikomanagement, Sicherheitskontrollen, Anwendbarkeit, Komplexität, Implementierung, Zertifizierung, Gemeinsamkeiten, Unterschiede, Stand der Technik, Datenschutz, Rechte an geistigem Eigentum, Unternehmensdaten.
- Quote paper
- Anonymous,, 2022, Comparison of information security standards ISO/IEC 27000 and BSI IT-Grundschutz, Munich, GRIN Verlag, https://www.grin.com/document/1496790
-
Upload your own papers! Earn money and win an iPhone X. -
Upload your own papers! Earn money and win an iPhone X. -
Upload your own papers! Earn money and win an iPhone X. -
Upload your own papers! Earn money and win an iPhone X. -
Upload your own papers! Earn money and win an iPhone X. -
Upload your own papers! Earn money and win an iPhone X.