Crystal 0 Geschrieben 30. August 2023 Melden Teilen Geschrieben 30. August 2023 Hallo liebe Community. Ich hoffe der Beitrag passt hier rein und mir kann einer einen kurzen Einblick geben... Folgende Situation: Wir sind ein kleines Unternehmen (max. 10 Personen) in der Consulting Branche und nehmen öfter an Ausschreibungen teil, die mittlerweile eine ISO 27001 bzw. IT Grundschutz Zertifizierung voraussetzen. Also haben wir beschlossen uns dementsprechend zertifizieren zu lassen. Mir wurde die Aufgabe zuteil das Ganze zu implementieren. Ein solides ISMS nach ISO 27001 auf die Beine zu stellen wird nicht das Problem sein. Nur möchte man bei uns lieber die ISO 27001 auf Basis des IT Grundschutz haben und da bin ich etwas "überfordert". Ich hatte bislang noch keine Berührungspunkte mit dem IT Grundschutz. Wie kann ich mir das vorstellen? Korrigiert mich bitte wenn ich falsch liege: Ich habe mich mal etwas quer gelesen und in meiner Vorstellung ist die ISO 27001 auf Basis des IT Grundschutz letztendlich eine ISO 27001, nur mit dem Zusatz, dass man die ganzen Maßnahmen des BSI zusätzlich einbringen muss. Ist das so korrrekt? Sprich: Man implementiert ein ISMS nach ISO 27001 und fügt im Anschluss den ganzen Anforderungen/Maßnahmen-Katalog des BSI hinzu? (grob ausgedrückt) Zitieren Link zu diesem Kommentar
NilsK 2.785 Geschrieben 30. August 2023 Melden Teilen Geschrieben 30. August 2023 Moin, naja, so ähnlich. Am Ende ist die Standardserie BSI-200 eine Anwendung der ISO-27001, man könnte sie auch eine Interpretation nennen. Wenn ihr BSI-200 umsetzt, seid ihr ISO-27001-konform. Aus meiner Sicht hat die BSI-Variante den Vorteil, dass sie an einigen Stellen deutlich konkreter ist und praktische Umsetzungshinweise enthält. Welche Maßnahmen man einbringen "muss", entscheidet nicht der Standard, sondern die eigene Umsetzung. Die ganze Klamotte hat sehr viel mit systematischer Erfassung und Beschreibung und mit Prozessorientierung zu tun.* Ob eine Maßnahme erforderlich ist oder nicht, schätzt man dabei selbst ein und begründet dies. Letztlich ist es dann das, was ein Auditor prüft; er muss es eben für plausibel und vollständig halten. Du hast Recht, dass das kein Hexenwerk ist. Es ist aber eine Menge Aufwand, auch bei 10 Personen. Wenn man damit bislang nicht zu tun hatte, empfiehlt es sich, eine Überblicksschulung dazu zu machen (ich hab vor Jahren mal was in der Größenordnung von 3 Tagen gemacht, das war sehr hilfreich), um die Systematik zu verstehen. Oder man lässt sich von einem Dienstleister helfen. Hat beides Vor- und Nachteile. Wovon man sich verabschieden sollte, ist die Idee, das nebenbei auf halber Pobacke zu machen. Gruß, Nils * insoweit ist "Implementierung" dabei für IT-Leute ein irreführender Begriff. Das ist nicht vergleichbar damit, einen IT-Service oder eine Datenbank zu "implementieren", sondern man muss Prozesse analysieren, beschreiben, geradeziehen und kategorisieren. 2 Zitieren Link zu diesem Kommentar
Crystal 0 Geschrieben 30. August 2023 Autor Melden Teilen Geschrieben 30. August 2023 Danke für den Input. Schulungen habe ich bereits absolviert (ISO 27001 LA & LI) und auch schon in Projekten gearbeitet. Wie gesagt, die ISO 27001 nativ stellt kein großes Problem dar. Ich habe für das Projekt auch volle Unterstützung und entsprechend PTs im Budget. Mein Problem ist einfach der BSI den ich so ziemlich gar nicht kenne. Welche Überblicksschulung ist das denn? Vor kurzem habe ich ein Selbststudium auf der BSI Seite entdeckt. Würde sowas helfen? Ich kriege die beiden Normen einfach nicht unter einen Hut. Mit der einen kenne ich mich aus und zu der anderen habe ich bestenfalls Halbwissen (wenn überhaupt). Wenn ich deine Ausführungen richtig verstanden habe, wäre ein vorhandenes ISMS nach ISO 27001 gleichbedeutend mit der BSI-200? Also der kompletten? 200-1-2-3-4 etc.? Dann würden die Maßnahmen nur noch fehlen? Und diese sind im Grundschutz Kompendium zu finden und entsprechend unserer im Unternehmen vorhandenen Infrastruktur umzusetzen? PS: Tut mir Leid wegen dem Doppelpost, anscheinend habe ich irgendwas bei der Erstellung falsch angeklickt. Das war keine Absicht. Zitieren Link zu diesem Kommentar
NilsK 2.785 Geschrieben 30. August 2023 Melden Teilen Geschrieben 30. August 2023 (bearbeitet) Moin, wenn du dich mit ISO 27001 auskennst, dann würd ich sagen: Leg los. Ehrlich gesagt, verstehe ich dann deine Fragen bzw. Bedenken nicht ganz. Wenn du dir die BSI-Standardserie mal ansiehst, solltest du feststellen, dass du die ISO 27001 darin wiederfindest. Ich kann dir jetzt keinen genauen Vergleich bzw. keine Abgrenzung dazu geben, aber der Trainer damals hat es in etwa so gesagt: BSI-x00 (damals war es noch 100, die 200 ist der Nachfolger) ist die "deutsche Interpretation" der ISO 27001, geht insgesamt aber weiter. Wer den "Grundschutz"-Teil von BSI-x00 umsetzt, hat ein 27001-konformes ISMS. Umgekehrt ist es nicht ganz so, weil die BSI-Standards an einigen Stellen spezifischer und an einigen Stellen weitergehend sind. Und sie haben einen Maßnahmenkatalog - der war zu 100-Zeiten noch nahe an unbrauchbar (weil stark veraltet), ist mit 200 aber besser und praxisnäher. Die konkrete Entscheidung würde ich von den Anforderungen abhängig machen. Wenn ihr für eure Kunden 27001 braucht und euch damit auskennt, dann macht das. So hielte ich es. EDIT: Gerade gefunden - das BSI hat selbst eine Zuordnung zwischen seinen Standards und der 27001 gemacht: https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Kompendium/Zuordnung_ISO_und_IT_Grundschutz.html?nn=128568 Gruß, Nils bearbeitet 30. August 2023 von NilsK 1 Zitieren Link zu diesem Kommentar
Crystal 0 Geschrieben 4. September 2023 Autor Melden Teilen Geschrieben 4. September 2023 Das schaut super aus. Danke dir vielmals. Ich habe mich mal durch die ganzen Anforderungen mal durchgelesen..., ich glaube beim IT Grundschutz sind wir da raus. Allein wenn ich das hier sehe: https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Kompendium_Einzel_PDFs_2021/10_INF_Infrastruktur/INF_12_Verkabelung_2021.pdf?__blob=publicationFile&v=1 und da unter INF12.A2: "Es MUSS darauf geachtet werden, dass die IT Verkabelung und die elektrotechnische Verkabelung mit dem normgerechten Trennungsabstand geführt werden" Was zum...? Erwartet der BSI jetzt dass man alle Böden/Wände aufreißt und die Verkabelung mit einem Trennungsabstand neu verlegt? Bisschen arg viel Aufwand m.M.n. Oder verstehe ich da wieder etwas falsch? MUSS = es muss auf jeden Fall gemacht werde und SOLL = kann man ausschließen (mit Begründung), oder? Zitieren Link zu diesem Kommentar
NilsK 2.785 Geschrieben 4. September 2023 Melden Teilen Geschrieben 4. September 2023 (bearbeitet) Moin, nein, natürlich musst du nicht alles aufreißen. Das wäre unverhältnismäßig. Und so könnte man im Zweifel auch begründen, dass man das nicht macht. Man ist auch nicht aufgrund einer einzelnen nicht umsetzbaren Anforderung "raus". Du wirst nicht drumrumkommen, dir das in Ruhe anzusehen. Schnellschüsse, Zertifizierung und Audits gehen nicht zusammen. Edit: Erstens steht da "muss auf ... geachtet werden", und zweitens geht es hier um Normen aus dem Bau bzw. der Elektrotechnik. Eine nicht normgerechte Installation wäre beim Bau bzw. beim Verlegen seinerzeit ja gar nicht abnahmefähig gewesen. Man wird also davon ausgehen können, dass die Verlegung den damals gültigen Normen entsprochen hat. Wenn nicht, wäre man sowieso in der Pflicht, das zu korrigieren. Hinter verbindlichen Normen kann das BSI ja schlecht zurückstehen, daher sind die Formulierungen so, wie sie sind. Für "normale" Zwecke kann aber nur gelten, dass die Normen zum Zeit der Inbetriebnahme eingehalten sein müssen. Deshalb stehen da auch keine Abstände oder ähnliche Werte, sondern der allgemeine Verweis auf die Normen. Und vorsichtshalber noch der Disclaimer: Ich bin weder Auditor noch Anwalt noch in der Tiefe BSI- oder ISO-Experte. Ich gebe hier meine Einschätzung aus einigen Jahren praktischem Umgang mit solchen Audits (als "Auditierter") wieder. Gruß, Nils bearbeitet 4. September 2023 von NilsK 2 Zitieren Link zu diesem Kommentar
Pitti259 15 Geschrieben 4. September 2023 Melden Teilen Geschrieben 4. September 2023 (bearbeitet) Der grundsätzliche Unterschied zwischen native und BSI ist, dass die Risikoanalyse beim BSI nach hinten geschoben wurde. Das BSI sagt, wenn Du die Vorgehensweise nach 200-1 (ISMS) und 200-2 (Strukturanalyse, Schutzbedarfsfeststellung, Modellierung und Grundschutzcheck) umgesetzt hast, dann hast Du ein zertifizierbares Sicherheitsniveau erreicht. Außer, Du hättest einen erhöhten Schutzbedarf, dann muss eine Risikoanalyse erfolgen um die Restrisiken zu identifizieren und ein Risikobehandlungsplan für die identifizierten Risiken erstellt werden. Die Risikoanalysen kannst Du dann nach 200-3 machen, oder nach 27005, oder nach eigener Senfsoße. Den 200-4 brauchst Du nicht beachten, der ist nicht zeritifizierungsrelevant. Deine Firma will vermutlich die ISO 27001 auf Basis IT-Grundschutz, weil bei Ausschreibungen im öffentlichen Bereich zukünftig ohne BSI-Zertifizierung des Auftragnehmers keine Klo-Reparatur mehr von Behörden beauftragt wird. Zu Deutsch, der Drops ist gelutsch und Du musst mit. Außer ihr seid nicht im öffentlichen Bereich unterwegs, dann leg Dir mal ein paar Argumente gegen den Grundschutz zurecht. Ciao Pitti (seit 2003 als Grundschutz-Fuzzi unterwegs) bearbeitet 4. September 2023 von Pitti259 Tippfehler 1 1 Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.