ISO/IEC 27002 vs. ISO/IEC 27001: Unterschiede, Ähnlichkeiten & Vorteile
Cybersicherheit ist heutzutage eine ständige Bedrohung. Die Implementierung eines Informationssicherheits-Managementsystems (ISMS) kann Unternehmen dabei helfen, Informationssicherheitsrisiken zu bewältigen. Für manche Unternehmen ist dieses Thema jedoch noch relativ unbekannt. Eine Möglichkeit, Informationssicherheitsrisiken zu steuern, sind die Normen ISO 27001 (Informationssicherheit) und ISO 27002 (Informationssicherheitsmaßnahmen) aus der ISO/IEC 27000-Familie. Diese Normen helfen, Informationsressourcen zu schützen.
Bevor die beiden Normen verglichen werden, sollte angemerkt werden, dass sie zwar häufig als ISO 27001 und ISO 27002 bezeichnet werden, dies jedoch eigentlich nicht korrekt ist. Beide Normen wurden gemeinsam von der Internationalen Organisation für Normung (ISO) und der Internationalen Elektrotechnischen Kommission (IEC) entwickelt und veröffentlicht und tragen die korrekten Bezeichnungen ISO/IEC 27001 und ISO/IEC 27002. Viele bezeichnen die beiden Normen jedoch weiterhin als ISO 27001 und ISO 27002.
Das Verständnis der Unterschiede zwischen ISO 27001 und ISO 27002 ist entscheidend für die Umsetzung der richtigen Praktiken im Bereich des Informationssicherheitsmanagements.
Was ist ISO/IEC 27001?
Um den Bedrohungen für die Informationssicherheit zu begegnen und die nationalen oder regionalen Vorschriften in diesem Bereich einzuhalten, sollten Organisationen idealerweise ein ISMS einführen. ISO/IEC 27001 ist die anerkannteste internationale Norm für ISMS. Zu den Vorteilen von ISO/IEC 27001 gehört, dass sie Organisationen dabei unterstützt, Richtlinien, Ziele und Prozesse für das Informationssicherheitsmanagement festzulegen. Sie hilft auch dabei, zu verstehen, wie wichtige Aspekte verwaltet werden können, um notwendige Maßnahmen zu implementieren und klare Ziele zur Verbesserung der Informationssicherheit festzulegen.
Sie verfolgt einen umfassenden Ansatz für die Informationssicherheit. Zu den schützenswerten Vermögenswerten zählen digitale Informationen, Papierdokumente und physische Vermögenswerte (Computer und Netzwerke) bis hin zum Wissen einzelner Mitarbeiter. Die zu behandelnden Themen reichen von der Kompetenzentwicklung der Mitarbeiter bis hin zum technischen Schutz vor Internetbetrug.
ISO/IEC 27001 ist so konzipiert, dass sie mit anderen anerkannten Managementsystemstandards kompatibel und harmonisiert ist. Sie eignet sich daher ideal für die Integration in bestehende Managementsysteme und -prozesse, auch in anderen Unternehmensbereichen.
Erfahren Sie mehr über den DNV-Schulungskurs für interne Auditoren nach ISO/IEC 27001.
Was ist ISO/IEC 27002?
Ein Teil der Implementierung eines ISMS besteht darin, zu verstehen, welche Bedrohungen und Risiken damit verbunden sind. ISO/IEC 27001 verlangt von Organisationen, dass sie Informationssicherheitsrisiken identifizieren und geeignete Maßnahmen zu deren Bewältigung bestimmen. In kleinen und mittleren Unternehmen, in denen die Kompetenzen der Mitarbeiter nicht auf IT ausgerichtet sind, kann dies eine sehr herausfordernde Aufgabe sein. Selbst für größere Organisationen mit einer IT-Abteilung ist möglicherweise nicht das gesamte Spektrum der Risiken offensichtlich.
ISO/IEC 27001 enthält in Anhang A ein hilfreiches Element, nämlich eine Liste von 93 Sicherheitsmaßnahmen, die eine Organisation möglicherweise in Betracht ziehen muss. Allerdings enthält sie nur wenige Hinweise dazu, wie die Maßnahmen genau angewendet werden können.
ISO/IEC 27002 ist eine ergänzende Leitlinie zu ISO/IEC 27001, die die Informationen in Anhang A erweitert, jede Maßnahme detaillierter beschreibt und einen Verhaltenskodex für Informationssicherheitsmaßnahmen enthält. Sie bietet Richtlinien und allgemeine Grundsätze für die Einführung, Umsetzung, Aufrechterhaltung und Verbesserung des Informationssicherheitsmanagements innerhalb eines Unternehmens.
Unterschied zwischen ISO 27001 und ISO 27002
Der Hauptunterschied zwischen ISO/IEC 27001 und ISO/IEC 27002 liegt in ihrem Schwerpunkt und ihrer Anwendung. ISO/IEC 27001 ist eine zertifizierbare Norm, die die Kriterien für ein ISMS festlegt. Sie enthält Anforderungen für die Einrichtung, Umsetzung, Aufrechterhaltung und fortlaufende Verbesserung eines ISMS. Organisationen, die die Zertifizierung erhalten, können ihren Stakeholdern gegenüber leicht nachweisen, dass sie die Informationssicherheit ernst nehmen. Dies kann Kunden und Geschäftspartnern Sicherheit geben und Regulierungsbehörden davon überzeugen, dass die Organisation die gesetzlichen Anforderungen erfüllt.
ISO/IEC 27002 hingegen ist kein zertifizierbarer Standard, sondern ein umfassendes Leitliniendokument, das bewährte Verfahren für Informationssicherheitsmaßnahmen beschreibt, die im Rahmen des ISMS von der Organisation berücksichtigt werden sollten. Es deckt wichtige Aspekte der Cybersicherheit ab, darunter Zugriffskontrollen, Kryptografie, Personalsicherheit und Reaktion auf Vorfälle. Durch die Anwendung der ISO/IEC 27002-Richtlinien können Unternehmen einen proaktiven Ansatz für das Cybersicherheits-Risikomanagement verfolgen und kritische Informationen vor unbefugtem Zugriff und Verlust schützen.
Wann sollte man ISO 27001 oder ISO 27002 verwenden?
ISO/IEC 27001:
- Für Organisationen, die ein formelles ISMS einrichten möchten.
- Wenn eine Zertifizierung durch eine unabhängige Zertifizierungsgesellschaft angestrebt wird.
- Zum Nachweis der Einhaltung von Best Practices für Informationssicherheit gegenüber Kunden, Stakeholdern und Regulierungsbehörden.
- Hilft, Strategien zur Aufrechterhaltung der Betriebsfähigkeit und zur Ausfallsicherheit zu implementieren.
ISO/IEC 27002:
- Eignet sich als Referenz für die Auswahl und Implementierung von Maßnahmen innerhalb des ISMS.
- Besonders nützlich für Organisationen, die ihre Informationssicherheitspraktiken verbessern möchten, ohne eine Zertifizierung anzustreben.
- Unterstützt beim Schutz des Unternehmens vor Cyber-Bedrohungen.
Beide Standards werden regelmäßig aktualisiert, um neuen Entwicklungen und Praktiken in einem sich schnell wandelnden Bereich von Bedrohungen und Anforderungen Rechnung zu tragen.
