Dejan Kosutic Wenn Sie zufällig auf ISO 27001 und ISO 27002 stießen, stellten Sie wahrscheinlich fest, dass ISO 27002 viel detaillierter, viel präziser ist – was ist dann der Zweck von ISO 27001?
Vor allem können Sie nicht für ISO 27002 zertifiziert werden, da es keine Management-Norm ist. Und was bedeutet eine Management-Norm? Es bedeutet, dass eine solche Norm definiert, wie ein System zu betreiben ist und im Falle von ISO 27001 definiert er das Informationssicherheits-Managementsystem (ISMS) – daher ist eine Zertifizierung für ISO 27001 möglich.
Dieses Managementsystem bedeutet, dass die Informationssicherheit geplant, implementiert, überwacht, überprüft und verbessert werden muss. Es bedeutet, dass das Management seine klaren Verantwortlichkeiten hat, dass Ziele gesetzt, gemessen und überprüft werden müssen, dass interne Audits durchgeführt werden müssen, und so fort. Alle diese Elemente sind in ISO 27001 definiert, in ISO 27002 jedoch nicht.
Die Unterschiede zwischen den Kontrollen in ISO 27002 und ISO 27001
Die Kontrollen in ISO 27002 haben dieselbe Bezeichnung wie in Anhang A von ISO 27001. In ISO 27002 wird Kontrolle 6.1.2 beispielsweise als „Aufgabentrennung“ bezeichnet, in ISO 27001 als „A.6.1.2 Aufgabentrennung.“ Der Unterschied liegt jedoch in der Detailgenauigkeit – im Durchschnitt erklärt ISO 27002 ein Steuerelement auf einer ganzen Seite,
Und zu guter Letzt ist der Unterschied, dass ISO 27002 keine Unterscheidung zwischen Kontrollen, die für eine bestimmte Organisation anwendbar sind und jenen, die das nicht sind, macht. ISO 27001 hingegen schreibt eine vorzunehmende Risikobewertung vor, um für jede Kontrolle zu ermitteln, ob es notwendig ist, die Risiken zu reduzieren und ist dies der Fall, in welchem Ausmaß dies anzuwenden ist.
Es stellt sich die Frage: warum ist es so, dass diese zwei Normen getrennt existieren, warum wurden sie nicht zusammengeführt, um damit die positiven Seiten beider Normen hervorzubringen? Die Antwort ist die Benutzerfreundlichkeit – eine einzelne Norm wäre zu komplex und zu groß für eine praktische Anwendung.
Welchen Standard aus der ISO 27000-Serie verwenden und wann
Jede Norm der ISO 27000-Serie wurde mit einem bestimmten Fokus entworfen – wenn Sie in Ihrer Organisation die Grundlagen der Informationssicherheit bilden und ihren Rahmen ausarbeiten möchten, sollten Sie ISO 27001 verwenden, wenn Sie Kontrollen implementieren möchten, sollten Sie ISO 27002 verwenden, wenn Sie eine Risikobewertung und Risikobehandlung durchführen möchten, sollten Sie ISO 27005 verwenden, usw.
Als Schlussfolgerung könnte man sagen, dass ohne die in ISO 27002 vorhandenen Details die im Anhang A von ISO 27001 definierten Kontrollen nicht implementiert werden könnten. Allerdings würde ISO 27002 ohne den Management-Rahmen von ISO 27001 nur eine isolierte Bemühung einiger weniger Sicherheitsenthusiasten, ohne Akzeptanz des Managements, bleiben und damit ohne wirklichen Einfluss auf die Organisation sein.
Sie können sich auch unser Seminar ISO 27001:2013 Foundations ansehen.
