IT-Grundschutz Arbeitshandbuch

Sowohl staatliche Organisationen als auch Unternehmen sind oftmals in einen internationalen Kontext eingebunden, bei dem die Vergleichbarkeit zu internationalen Standards gefordert wird. Eine Organisation hat drei Möglichkeiten, die Konformität zu einer Norm zu zeigen:

(1) Sie kann ihre Konformität von sich aus verkünden.

(2) Sie kann ihre Kunden bitten, die Konformität zu bestätigen.

(3) Sie kann durch einen unabhängigen externen Auditor die Konformität verifizieren lassen.

Die internationale Norm ISO/IEC 27001 als DIN-Norm in deutscher Übersetzung „Informationssicherheit, Cybersicherheit und Datenschutz –Informationssicherheitsmanagementsysteme – Anforderungen“ spezifiziert die Anforderungen für Herstellung, Einführung, Betrieb, Überwachung, Wartung und Verbesserung eines dokumentierten Informationssicherheits-Managementsystems unter Berücksichtigung der IT-Risiken innerhalb der gesamten Organisation. Sämtliche Arten von Organisationen (z.B. Unternehmen, staatliche Organisationen, Non-Profitorganisationen) werden hierbei berücksichtigt. Die internationale Norm ISO/IEC 27002 als DIN-Norm in deutscher Übersetzung „Informationssicherheit, Cybersicherheit und Schutz der Privatsphäre – Informationssicherheitsmaßnahmen“ bietet zahlreiche Empfehlungen für diverse Kontrollmechanismen für die Informationssicherheit.

Das vorliegende Handbuch bietet die Möglichkeit, auf effiziente Weise das durch den IT-Grundschutz aufgebaute Informationsmanagementsystem mit den Anforderungen der ISO/IEC 27001 und 27002 abzugleichen. Die komplementäre Anwendung von IT-Grundschutz und der ISO-Normen wird so erheblich erleichtert. Die 4. aktualisierte Auflage beinhaltet neben den – aktuellen – DIN-Normen ISO/IEC 27001/27002 und den BSI-Standards 200-1/2/3 auch die entsprechende Zuordnungstabelle ISO zum IT-Grundschutz.