Standards für Informationssicherheit

ISO/IEC 27001:2022 – Informationssicherheit, Cybersicherheit & Datenschutz integriert

Die Norm ISO/IEC 27001:2022 löst die Vorgängerin ISO/IEC 27001:2013 ab.
Die neue Version fokussiert die Themen Informationssicherheit, Cybersicherheit und Datenschutz für den Aufbau einer cyberresilienten Organisation. Diese neue, praxisnahe Schwerpunktsetzung integriert auch das Thema Cloudsicherheit.
Mit der Neuauflage ISO 27001:2022 sind auch die in Anhang A aufgeführten „Controls“ (Maßnahmen) von 114 auf 93 konsolidiert und in vier statt 14 Abschnitte gegliedert worden.

• Organisatizational Controls (37 Maßnahmen)
• People Controls (8 Maßnahmen)
• Physical Controls (14 Maßnahmen)
• Technological Controls (34 Maßnahmen)

• ISMS nach vorgegebenem Fahrplan mit standardisierten Prozessen umsetzen
• grundsätzlich für alle Branchen anwendbar; größte Verbreitung bei Behörden und öffentlichen Verwaltungen
• nationaler Standard vom BSI

Der IT-Grundschutz des Bundesamts für Sicherheit in der Informationstechnik (BSI) bietet mit seinen spezifischen Anforderungen das strukturierte Vorgehen an, ein Informationssicherheits-Managementsystem (ISMS) nach vorgegebenem Fahrplan umzusetzen.

Für verschiedene Einsatzumgebungen sind einzeln formulierte Sicherheits-Anforderungen und Methodiken aufgeführt.

Der an die international gültige Norm ISO 27001 angelehnte BSI-Grundschutz ist eine umfassende Absicherung nach standardisierten Prozessen und auf dem Stand der Technik, die häufig in öffentlichen Verwaltungen genutzt wird.

Nach erfolgter Zertifizierung wird ein Zertifikat nach „ISO 27001 auf Basis IT-Grundschutz“ ausgestellt.

 
BSI-Grundschutz – Schritt für Schritt zum ISMS

Der Grundschutz des BSI gibt den Weg zur Umsetzung eines ISMS Schritt für Schritt vor. Der IT-Grundschutz berücksichtigt dabei auch konkrete, typische Prozesse aus dem IT-Betrieb.

BSI-Grundschutz beinhaltet beispielsweise Bausteine für

•     Server & Clients
•     Systemmanagement
•     Behandlung von Sicherheitsvorfällen
•     Webserver
•     Gebäude

Alle Bausteine enthalten eine Kurzbeschreibung, einen Überblick der Gefährdungslage sowie konkrete Sicherheitsanforderungen für den sicheren IT-Einsatz.

• Standard zur Umsetzung eines ISMS mit besonderem Fokus auf kleinen und mittelständischen Unternehmen (KMU)
• Umsetzung mit reduziertem Aufwand gegenüber ISO 27001 oder BSI-Grundschutz
• die Zeritifzierung des ISMS nach VdS10000 ist möglich

VdS 10000 ist eine für die Bedürfnisse kleiner und mittelständischer Unternehmen entwickelte Richtlinie, Informationssicherheitsmanagement praktikabel umzusetzen. Die definierten Maßnahmen und Vorgaben, die branchenübergreifend formuliert sind, ermöglichen mit überschaubarem Aufwand eine Zertifizierung nach VdS 10000.

Wie der im Jahr 2018 abgelöste Vorgänger VdS 3473 stammt VdS 10000 von der VdS Schadensverhütung GmbH, einer Tochter des Gesamtverbands der deutschen Versicherungswirtschaft. Die VdS ist eine weltweit renommierte Institution für die Sicherheit von Unternehmen mit Schwerpunkten Cyber Security, Brandschutz, Gebäudesicherheit und Naturgefahrenprävention.
 

VdS 10000 - praktikabler Ansatz mit konkreten Anforderungen

Die Richtlinie VdS 10000 fokussiert auf 43 Seiten die Umsetzung des Informationssicherheitsmanagements. VdS 10000 beinhaltet darüber hinaus Empfehlungen zur Etablierung einer Sicherheitsleitlinie sowie eines Prozesses der kontinuierlichen Verbesserung.

Dem praktikablen Ansatz folgend arbeitet VdS 10000 mit eindeutig definierten Begrifflichkeiten, die in der Umsetzung dienlich sind.
Die Begriffe "kann", "sollte nicht", "sollte", "darf nicht" und "muss" differenzieren die Verbindlichkeit, beschriebene Empfehlungen und Maßnahmen umzusetzen.

IT-Ressourcen unterscheidet VdS 10000 in „kritisch“ und „nicht kritisch“. Für die Absicherung kritischer IT-Ressourcen sind erweiterte Sicherheitsmaßnahmen sowie Risikoanalysen und Risikobehandlungen notwendig, während für „nicht kritische“ der Basisschutz ausreichend ist.