Zum Inhalt gehen
ISO 27001

ISO 27001 vs. ISO 27002: Wo liegen die Unterschiede?

·
5 Minuten Lesezeit
HR auf der einen Seite, IT auf der anderen?
Verwalten Sie Geräte, Lizenzen und Sicherheit an einem Ort. Synchronisiert mit den Ein- und Austritten Ihres Teams. Entdecken Sie Factorial IT
Verfasst von

Wenn sich Ihr Unternehmen zum ersten Mal mit dem Thema Informationssicherheit beschäftigt, haben Sie höchstwahrscheinlich bereits von der Norm ISO 27001 gehört. Und fast im selben Atemzug dürfte Ihnen eine weitere Norm mit einem sehr ähnlichen Namen begegnet sein: die ISO 27002. Sind das dieselben Normen? Ersetzt die eine die andere? Muss man beide einführen?

Die Verwirrung ist verständlich. Beide gehören zur selben Normenfamilie ISO/IEC 27000, verfolgen dasselbe übergeordnete Ziel – den Schutz der Unternehmensinformationen – und ihre Maßnahmen teilen sogar dieselbe Nummerierung. Trotzdem sind sie weder gleichwertig noch austauschbar: Jede erfüllt innerhalb eines Informationssicherheits-Managementsystems (ISMS) eine ganz eigene Aufgabe.

In diesem Artikel erklären wir Ihnen, was die beiden Normen jeweils ausmacht, worin sie sich unterscheiden und wie sie zusammenspielen – damit Sie genau wissen, welche Rolle jede Norm in Ihrer Compliance-Strategie spielt.

Was ist die ISO 27001?

Die ISO 27001 (offiziell ISO/IEC 27001) ist die internationale Norm, die die Anforderungen für die Einführung, den Betrieb und die kontinuierliche Verbesserung eines Informationssicherheits-Managementsystems (ISMS) festlegt. Ihre erste Fassung stammt aus dem Jahr 2005, die jüngste Aktualisierung von Oktober 2022. Sie ist die weltweit anerkannteste Referenz auf diesem Gebiet und in mehr als 150 Ländern präsent.

Was sie grundlegend von den übrigen Normen der Familie unterscheidet, ist ihre Zertifizierbarkeit. Jede Organisation kann sich – unabhängig von Größe und Branche – einem externen Audit durch eine akkreditierte Stelle unterziehen und ein offizielles, international gültiges Zertifikat erhalten. Dieses Zertifikat ist drei Jahre gültig und wird durch jährliche Überwachungsaudits begleitet.

Die Norm gliedert sich in zwei Blöcke. Auf der einen Seite stehen die verbindlichen Kapitel (4 bis 10), die festlegen, wie ein ISMS aufgebaut und betrieben wird. Auf der anderen Seite der Anhang A, der 93 Sicherheitsmaßnahmen in vier Kategorien auflistet. Diese Maßnahmen müssen nicht vollständig umgesetzt werden: Jede Organisation begründet in ihrer Anwendbarkeitserklärung (SoA), welche Maßnahmen für sie relevant sind und welche nicht.

Sie ist zudem der übliche Ausgangspunkt, um weitere Regelwerke anzugehen, etwa die NIS2-Richtlinie – in Deutschland umgesetzt durch das NIS-2-Umsetzungsgesetz –, mit der sie einen Großteil der Grundsätze des Risikomanagements und der Sicherheit teilt.

Die wichtigsten Punkte zur ISO 27001

  • Sie ist der internationale Standard für Informationssicherheits-Managementsysteme (ISMS).
  • Durch eine akkreditierte Stelle zertifizierbare Norm, drei Jahre gültig mit jährlichen Überwachungsaudits.
  • Sie folgt einer gemeinsamen High-Level-Structure (HLS) und ist mit anderen ISO-Normen wie der 9001 oder der 14001 kompatibel.
  • Sie umfasst 93 Maßnahmen im Anhang A, gegliedert in vier Kategorien (organisatorisch, personenbezogen, physisch und technologisch).
  • Sie definiert die Management-Anforderungen, also das, was eine Organisation tun muss, um ihr ISMS aufrechtzuerhalten.
  • Sie dient als üblicher Ausgangspunkt für die Erfüllung von NIS2 und den Vorgaben des BSI.

Was ist die ISO 27002?

Die ISO 27002 (offiziell ISO/IEC 27002) ist der Leitfaden mit bewährten Praktiken, der im Detail beschreibt, wie sich die im Anhang A der ISO 27001 genannten Sicherheitsmaßnahmen umsetzen lassen. Ihre jüngste Fassung von Februar 2022 hat den Katalog vollständig neu geordnet: Aus den zuvor 114 Maßnahmen wurden die heutigen 93, verteilt auf vier Kategorien.

Anders als die 27001 ist sie keine zertifizierbare Norm. Sie legt keine auditierbaren Anforderungen fest und dient nicht als Grundlage für ein offizielles Zertifikat. Ihre Rolle ist ergänzend: Sie ist ein technisches Referenzdokument, das Organisationen für jede Maßnahme eine detaillierte Beschreibung mit Hinweisen zu Zweck, Gestaltung und Umsetzung an die Hand gibt.

Während die ISO 27001 angibt, welche Maßnahmen eine Organisation prüfen muss, erklärt die ISO 27002, wie sie in der Praxis anzuwenden sind. Jede Maßnahme, die in der 27001 in einem Satz zusammengefasst ist, wird in der 27002 auf einer ganzen Seite ausgeführt – mit Beispielen, Empfehlungen und zu beachtenden Aspekten. Sie ist das Standardwerkzeug aller Sicherheitsverantwortlichen, die ein ISMS einführen oder überarbeiten.

Die wichtigsten Punkte zur ISO 27002

  • Sie ist ein Leitfaden mit bewährten Praktiken, keine zertifizierbare Norm.
  • Ihre jüngste Fassung stammt aus dem Jahr 2022, mit 93 Maßnahmen in vier Kategorien.
  • Sie führt die im Anhang A der ISO 27001 genannten Maßnahmen detailliert aus.
  • Sie bietet praktische Orientierung zu Zweck und Umsetzung jeder einzelnen Maßnahme.
  • Sie ist auf jede Organisation anwendbar, unabhängig von Größe und Branche.
  • Sie dient als gängige technische Referenz für Auditierende und Sicherheitsverantwortliche.

Unterschiede zwischen ISO 27001 und ISO 27002

Auch wenn die beiden Normen fast zeitgleich aktualisiert wurden und dieselbe Maßnahmenstruktur teilen, sind ihre Unterschiede erheblich. Die eine legt die Anforderungen des Managementsystems fest, die andere liefert den technischen Leitfaden für deren Umsetzung. Das sind die wichtigsten Unterschiede zwischen beiden:

Kriterium ISO 27001 ISO 27002
Art der Norm Anforderungsnorm (ISMS) Leitfaden mit bewährten Praktiken
Zertifizierbar Ja, durch eine akkreditierte Stelle Nein
Aktuelle Fassung ISO/IEC 27001:2022 ISO/IEC 27002:2022
Ansatz Was zu tun ist, um ein ISMS aufzubauen Wie die Maßnahmen umzusetzen sind
Struktur Kapitel 4 bis 10 + Anhang A 93 detailliert ausgeführte Maßnahmen
Detailgrad je Maßnahme Etwa ein Satz Eine komplette Seite
Geforderte Dokumentation Ja (SoA, Leitlinie, Risikoanalyse) Keine Dokumentation gefordert
Audit Ja, Grundlage der Zertifizierung Technische Referenz für das Audit
Anwendbarkeit Jede Organisation Jede Organisation
Rolle innerhalb des ISMS Definiert den Management-Rahmen Unterstützt die Umsetzung des Rahmens

Wann sollten Sie die ISO 27001 und wann die ISO 27002 einsetzen?

Die Frage ist etwas irreführend, denn in der Praxis entscheidet man sich fast nie für die eine und gegen die andere. Die beiden Normen wirken parallel: Die ISO 27001 definiert den Rahmen des ISMS, die ISO 27002 erklärt, wie sich jede einzelne Maßnahme umsetzen lässt.

Das zeigt sich bis ins Detail. Die Maßnahme A.5.15 der ISO 27001 erscheint im Anhang A schlicht als „Zugangssteuerung“. Die ISO 27002 widmet derselben Maßnahme mehrere Seiten: wozu sie dient, wie sich Zugangsregeln definieren lassen, welche bewährten Praktiken zu beachten sind oder wie sie zu überprüfen ist. Die eine besagt, dass die Maßnahme existieren muss, die andere erklärt, wie man sie ausgestaltet. Mit der Aktualisierung von 2022 wurde dieser Bezug noch verstärkt, da beide Normen ihre Struktur angeglichen haben und nun dieselbe Maßnahmen-Nummerierung verwenden.

Davon abgesehen gibt es durchaus Szenarien, in denen es sinnvoll ist, sich stärker auf die eine als auf die andere Norm zu stützen.

Wenn Ihr Ziel die Zertifizierung gegenüber einer Kundin oder einem Kunden, im Rahmen einer Ausschreibung oder gegenüber einer Aufsichtsbehörde ist, ist die ISO 27001 die einzig gültige Option. Die 27002 lässt keine offizielle Zertifizierung zu und dient ausschließlich als unterstützende technische Referenz. Dasselbe gilt, wenn Sie die Einhaltung von NIS2 vorbereiten möchten, da sich dieses Regelwerk weitgehend auf die durch die 27001 definierte ISMS-Struktur stützt.

Wenn Sie hingegen interne Maßnahmen dokumentieren möchten, ohne ein externes Audit zu durchlaufen, oder technische Teams schulen und Nachschlagematerial erstellen, ist die ISO 27002 in der Regel hilfreicher. Ihr Detailgrad je Maßnahme eignet sich dafür besser als die abstraktere Sprache der 27001.

Und wenn Sie als Beratende oder Auditierende tätig sind, liegt es nahe, beide parallel zu nutzen. Die 27001 sagt Ihnen, was zu bewerten ist; die 27002 zeigt Ihnen, wie jede Maßnahme in der Praxis umgesetzt sein sollte.

Wie unterstützt Sie Factorial IT bei der ISO 27001 und der ISO 27002?

Über eine einzige Plattform deckt Factorial IT mehrere der Maßnahmen aus Anhang A der ISO 27001 ab, die die ISO 27002 im Detail ausführt – vor allem jene rund um Identitäten, Geräte, SaaS-Zugriffe, Antivirus und Mitarbeitende. Die Nachweise, die jede auditierende Person für diese Maßnahmen verlangt, entstehen automatisch im laufenden Tagesgeschäft, ohne dass am Tag vor dem Audit irgendetwas rekonstruiert werden muss. Das sind die sechs Bereiche, die die Plattform abdeckt.

  • IT-Asset-Inventar: automatischer Katalog aller Geräte, Software und Zugriffe des Unternehmens, stets aktuell und für Audits exportierbar.
  • Zugriffsverwaltung: zentrale Verwaltung der Zugriffe auf SaaS-Tools, mit Berechtigungen, die je nach Rolle der Mitarbeitenden automatisch zugewiesen und entzogen werden.
  • Gerätesicherheit: Verschlüsselung, Passwörter und Sperren werden automatisch auf jedem Gerät angewendet. Kompatibel mit Mac, iOS, Windows und Linux.
  • Sicheres Offboarding: Sobald im HR-System ein Austritt erfasst wird, werden alle Zugriffe der betreffenden Person ohne manuelles Eingreifen und ohne verbleibende Konten geschlossen.
  • Schutz vor Malware: fortschrittliches Antivirus auf jedem Gerät, mit Erkennung von Malware, Ransomware und Zero-Day-Bedrohungen.
  • Audit-Nachweise: automatisch erstellte Compliance-Protokolle und -Berichte, jederzeit bereit zum Export und zur Vorlage beim Audit.

Ähnliche Beiträge