Heim

Diskussion:ISO/IEC 27001

Konformitätsbewertung /Wesentlicher Unterschied zu ISO 17xxx

Im Artikel sollte der wesentliche Unterschied einer Konformitätsbewertung nach ISO 27xxx gegenüber anderen Bewertungen, z.B. nach ISO 17xxx klar zur Sprache kommen. Es scheint so zu sein, dass der darin liegt, dass nach ISO 27xxx die Zertifizierung nach erfolgter Konformitätsbewertung nie von demjenigen vorgenommen wird, der die Konformität bewertet hat, sondern dass dies immer ein Dritter tut, der damit implizit die Bewertungsentscheidung überprüft. Ist das so? In welcher Untervorschrift von ISO 27xxx (27001?) steht das? -- 213.178.69.186 11:45, 18. Jun. 2007 (CEST)

Hm? Du meinst die Vorgehensweise, das ein Auditor eines Certification Body (z.B. DQS) das ISMS der Zielorganisation auf Konformität prüft und dieser Auditbericht samt Zertifizierungsvotum an ein Kommitee innerhalb des CB weitergereicht wird, welches daraufhin das Zertifikat erteilt bzw nicht? Das wäre ISO/IEC 17021:2005, ch. 9.1.14. Kann sein, das auch noch etwas in der ISO 19011 steht, auf diese habe ich aber derzeit keinen Zugriff. Das ist aber an sich eine Standardvorgehensweise für Audits generell und keine Differenz zwischen 17xxx und 27xxx.

Entwicklung

Zum Absatz:

Seit Oktober 2005 ist die ISO 27001 die erste internationale Norm, die eine Zertifizierung 
von ISMSen ermöglicht. Daher versuchen bestehende Managementsysteme (
z.B.das IT-Grudschutzhandbuch) ihre Systeme zu nach ISO 27001 zertifizierbaren System auszubauen.

Was war Oktober 2001? IT-Grundschutz ist ein völlig anderer Ansatz, und zwar ein technischer, während ISMS ein organisatorischer Ansatz ist. Risikomanagement gibts beim Grundschutz nicht. Daher würde ich das so nicht schreiben. --~ğħŵ ☎℡ 10:57, 29. Jun 2006 (CEST)

Hallo, das 2001 ist ein fehler von mir, richtig ist 2005! Das GSHB wurde in der Version 2005 umstrukturiert, jetzt gibt es einmal "Kataloge" und drei Standards mit "Methodik". Wenn man die Standards umsetzt erfüllt man die Anforderungne der ISO 27001, deswegen sind künftig alle GS-Zertifikate gleichzeitig auch ISO 27001 Zertifikate.
--Badenserbub 12:00, 29. Jun 2006 (CEST)
Also dass GS-Zertifikate "automatisch" ISO 27001 Zertifikate sind, kann ich mir nicht vorstellen. Es ist ohne weiteres auch nicht möglich, weil der Ansatz ein völlig anderer ist: GS geht von einem grundlegenden Gefährdungskatalog aus, Risikomanagement gibts dort nicht (Risiko* kommt im GSHB exakt 0 mal vor), während ISMS eine systematische Vorgehensweise mit Risikomanagement als zentralem Element. Dass man beides auf einmal machen kann, steht auf einem anderen Blatt, mit dem GS alleine wird man aber nie ein 27001-taugliches System haben. --~ğħŵ ☎℡ 14:51, 29. Jun 2006 (CEST)
Um auf einen gleichen Diskussionstand zu kommen [1] und [2]. --Badenserbub 08:37, 30. Jun 2006 (CEST)
Das ist aber ein bisser ein Unterschied (wenn ma schon i-Tüpferl reiten tun): 17799 beschreibt kein ISMS, ist daher auch keine Zertifizierungsgrundlage für ein ISMS (das ist eben nur die 27001). Da in der 17799 technische Aspekte zur IT-Sicherheit beschrieben werden, ist es simpel, diese mit dem GS zu vergleichen. IT-Grundschutz ist immer noch ein rein technischer Ansatz basierend auf einem simplen Katalog und enthält keinerlei Aspekte des Risikomanagements oder des IS Managements. Mit Hilfe der BSI-Standards 100-1, 100-2, 100-3 kann, aufbauend auf dem GS, ein ISMS etabliert werden, welches zu dem der 27001 kompatibel sein kann. GS alleine ist definitiv kein Managementsystem (völlig anderer Ansatz). Zudem hat der GS lediglich in .de bestenfalls nationale Bedeutung. Diese Details passen in den GS-Artikel IMHO besser, als hierher (dass man nach mehreren Standards zertifizieren kann, ist nichts neues). Auch ein GS+BSI 100 Zertifikat ist kein ISO 27001 Zertifikat. Es kann lediglich eine Zertifizierung nach 27001 gleichzeitig durchgeführt werden. --~ğħŵ ☎℡ 09:05, 30. Jun 2006 (CEST)