27001 vs. 27002
Grundlagen
Zwei Normen, ein Team
Anfänger verwechseln ISO/IEC 27001 und ISO/IEC 27002 oft. Beide gehören zusammen, haben aber völlig unterschiedliche Aufgaben:
| ISO/IEC 27001 | ISO/IEC 27002 | |
|---|---|---|
| Frage | WAS muss ich tun? | WIE setze ich es um? |
| Charakter | Anforderungen (normativ, „muss") | Leitfaden (Empfehlung, „sollte") |
| Zertifizierbar? | Ja | Nein |
| Umfang | Klauseln 4–10 + Anhang A (Liste) | Ausführliche Erklärung jeder Maßnahme |
| Länge | kompakt (~ 30 Seiten) | ausführlich (~ 150+ Seiten) |
Anhang A ist die Brücke
Der Trick liegt im Anhang A der 27001: Dort sind 93 Maßnahmen nur als kurze Liste mit je einem Satz aufgeführt. Diese Liste ist direkt aus ISO/IEC 27002 abgeleitet. Wer wissen will, wie eine Maßnahme konkret umzusetzen ist, schlägt in der 27002 nach – dort steht zu jeder Maßnahme:
- Zweck – warum es die Maßnahme gibt;
- Anleitung – wie man sie praktisch umsetzt;
- Attribute – Schlagworte zur Einordnung (siehe Attribute).
27001, Anhang A: "8.24 Verwendung von Kryptographie – Es müssen Regeln
für den wirksamen Einsatz von Kryptographie ... festgelegt werden."
│
▼ Nachschlagen für Details
27002, Maßnahme 8.24: Zweck + mehrere Seiten Anleitung (Schlüsselverwaltung,
Algorithmen, Lebenszyklus, ...)
Eine einfache Merkregel
27001 = Prüfungsregeln, 27002 = Lehrbuch. Der Auditor prüft gegen die Anforderungen der 27001. Das Team schlägt für die Umsetzung im Leitfaden 27002 nach. Beide Dokumente bauen wir in diesem Kurs gemeinsam auf: erst die Anforderungen (Klauseln), dann die Maßnahmen (Anhang A mit 27002-Details).
Wofür schlägt ein ISMS-Team in ISO/IEC 27002 nach?