Comparison of ISO 27001:2014 and its Annex A with the new ISO 20000-1:2018

Bachelor-Studiengang IT Security

Matthias Lampl, BSc

Betreuer: FH-Prof. DI Herfried Geyer

Ausgangslage

Die ISO 27001 zählt als international anerkannter Informationssicherheits-Standard zu den begehrtesten Zertifizierungen bei Unternehmen. Die Motive für eine Zertifizierung können dabei sehr unterschiedlich sein und reichen von reinen Marketingzielen bis hin zur gesetzlichen Verpflichtung aufgrund einer Einstufung als kritische Infrastruktur. Eine Zertifizierung ist durchaus mit großem Ressourcenaufwand für ein Unternehmen verbunden. Die Implementierung der notwendigen technischen und organisatorischen Maßnahmen kann je nach Komplexität der Organisation auch mehrere Jahre in Anspruch nehmen.

Zusätzlich unterscheiden sich Unternehmen auch wesentlich in Ihren Bemühungen um standardisierte IT-Prozesse. Während Firma A ihre IT lediglich als Werkzeug sieht, behandelt Firma B die IT als Asset welches direkt in den Wertschöpfungsprozess eingebunden wird und versucht Empfehlungen der ISO 20000 umzusetzen. Diese Unterschiedlichen Ansätze und Motive teilen ISO 27001 Interessierte grob in zwei Lager, diejenigen, welchen ein Zertifikat genügt und diejenigen, welche tatsächlichen Vorteil aus einem Informationssicherheits- und IT Management System ziehen wollen.

Ziel

Das Ziel dieser Arbeit ist, die ISO 27001 mit der ISO 20000:1 zu vergleichen und Überschneidungen bei den Empfehlungen zu identifizieren. Damit soll Unternehmen, welche die ISO 20000:1 oder Teile davon bereits umgesetzt haben, die Einschätzung der Aufwandsminderung für eine Implementierung der ISO 27001 erleichtert werden. Darüber hinaus sollen potenzielle Synergieeffekte hervorgehoben werden, welche durch Berücksichtigung beider Normen entstehen können.

Ergebnis

Die ISO 27001 bedient sich einiger Elemente der ISO 20000, dabei beruhen die Überschneidungen häufig auf der Notwendigkeit bestimmter Unternehmensstrukturen, um eine Steuerung des Unternehmens überhaupt erst zu ermöglichen. So sind in beiden Normen etwa Strukturen wie ein Incident- und Changemanagement, ebenso wie ein Supplier und Asset beziehungsweise Configuration Management gefordert. Trotz unterschiedlichem Fokus der jeweiligen Norm, sind die Empfehlungen der ISO 20000 aber auch für die Wirksamkeit der ISO 27001 in diesen Bereichen von großer Bedeutung. Schlussendlich profitiert jedes Unternehmen direkt vom Mehraufwand, welcher durch Berücksichtigung beider Normen entsteht.