Wenn Sie planen, ein Informationssicherheitsmanagementsystem aufzubauen, sind Sie wahrscheinlich auf sowohl ISO 27001 als auch ISO 27002 gestoßen.
Beide sind Informationssicherheitsstandards, die von der Internationalen Organisation für Normung erstellt wurden und erklären, wie man ein robustes ISMS erstellt. Beide behandeln die Sicherheitskontrollen, die Organisationen implementieren können, um ihre Daten zu schützen.
Was ist also der Unterschied zwischen den Normen ISO 27001 und 27002?
Obwohl ihre Zwecke sich überschneiden, hat jede eine andere Fokussierung.
- ISO 27001 erklärt, wie Unternehmen ein konformes ISMS aufbauen können, von der Definition des Umfangs ihres Systems und der Entwicklung von Richtlinien bis hin zur Schulung der Mitarbeiter.
- ISO 27002 konzentriert sich speziell auf Kontrollen. Es erweitert die Übersicht von Anhang A von ISO 27001, um tief in den Zweck, das Design und die Implementierung jeder Kontrolle einzutauchen.
Das ist die Kurzversion.
Aber es gibt viel mehr Nuancen zwischen ISO 27001 und 27002.
In diesem Beitrag werden wir die wesentlichen Unterschiede erläutern und erklären, wann jede Norm verwendet werden sollte.
Was ist ISO 27001?
ISO 27001 ist ein Rahmenwerk für Informationssicherheit. Es beschreibt, wie man ein Informationssicherheitsmanagementsystem (ISMS) einrichtet, um sensible Daten zu verwalten, einschließlich:
- Definition des Umfangs des ISMS
- Durchführung einer Lückenanalyse
- Entwicklung von Richtlinien und Kontrollen
- Erstellung von Dokumentationen
- Schulung des Personals
- Durchführung interner Audits
- Abschluss eines Zertifizierungsaudits
- Aufrechterhaltung der Konformität durch Überwachungs- und Rezertifizierungsaudits
ISO 27001 zertifiziert zu werden ist eine Möglichkeit für Unternehmen, ihren Kunden zu beweisen, dass ihre Daten sicher sind. Als international anerkannter Standard ist ISO 27001 auch eine Möglichkeit für Unternehmen, sich einen Wettbewerbsvorteil zu verschaffen und in globale Märkte zu expandieren.
Was ist ISO 27002?
ISO 27002 beschreibt die spezifischen Kontrollen, die Organisationen möglicherweise implementieren möchten, um ein konformes ISMS aufzubauen.
Der ISO 27001-Standard enthält Anhang A, der kurz spezifische Informationssicherheitskontrollen behandelt, die ein Unternehmen implementieren kann, um sein ISMS zu sichern.
Aber während Anhang A jede Kontrolle in ein oder zwei Sätzen behandelt, geht ISO 27002 viel mehr ins Detail. Es enthält das Ziel für jede Kontrolle, wie sie funktioniert und was Unternehmen tun können, um sie erfolgreich zu implementieren.
Was ist der Unterschied zwischen ISO 27001 und ISO 27002?
ISO 27001 ist ein sogenannter Managementstandard. Managementstandards erklären, wie man ein System betreibt — im Fall von ISO 27001 ein Informationssicherheitsmanagementsystem.
ISO 27002 ist kein Managementstandard. Es ist eine Sammlung von Richtlinien und Sicherheitstechniken.
Während Sie eine Prüfung abschließen können, um nach ISO 27001 zertifiziert zu werden, können Sie keine ISO 27002-Zertifizierung erhalten.
Es gibt auch einen großen Unterschied im Detailgrad, den jeder Standard behandelt.
Zum Beispiel erklärt der ISO 27001-Standard, wie man ein ISMS implementiert: die Verantwortlichkeiten des Unternehmensmanagements, wie man Ziele setzt und misst, wie man eine interne Prüfung durchführt und welche Kontrollen ein Unternehmen einrichten kann.
Aber er geht nicht auf die kleinsten Details jeder einzelnen Kontrolle ein. ISO 27002 tut das.
Welchen ISO-Standard sollten Sie wann verwenden?
Jeder Standard aus der ISO 27000-Serie hat einen spezifischen Zweck und einen spezifischen Fokus.
Bei ISO 27001 liegt dieser Fokus auf dem Aufbau eines ISMS. Die Implementierung spezifischer Kontrollen für dieses ISMS ist der Fokus von ISO 27002. ISO 27005 dreht sich alles um Risikobewertung und -management. Und so weiter.
Verwenden Sie die Anforderungen von ISO 27001 als Leitfaden dafür, wie Sie Ihr ISMS entwerfen und aufbauen, um Konformität zu erreichen. Sobald Sie identifiziert haben, welche Kontrollen Sie implementieren wollen, verwenden Sie ISO 27002 als Referenz, um die Spezifika zu lernen, wie jede einzelne funktioniert.
Wenn Sie bereit sind, die Reise zur ISO 27001-Zertifizierung zu beginnen, kann unsere Compliance-Automatisierungsplattform den gesamten Prozess von Anfang bis Ende vereinfachen. Wir helfen Ihnen, ein konformes ISMS aufzubauen, Risiken zu managen, Lücken zu schließen und Sie in Rekordzeit 100% auditbereit zu machen.