Guten Tag,
Ausgangslage. Wir arbeiten derzeit mit unseren IT-Verbünden im (modernisierten) Grundschutz. Aufgrund zweiter Branchenstandards muss einer der Verbünde zukünftig auch ISO 27001 „Nativ“ anwenden. Der Branchenstandard hat sich - ich würde sagen wie fast üblich, bei den Maßnahmen des Grundschutzes bedient. Das Audit muss dem BSI vorgelegt werden. Daher gehen wir Stand heute davon aus, das die Reports aus dem modernisierten Grundschutz für die Vorlage ausreichend sind. Allerdings haben wir festgestellt, dass eine Zuordnung der Controlls und damit auch die Zuordnung zu den Report im modernisierten Grundschutz nicht möglich ist. Wir regen daher an, dies ähnlich wie Prozess oder Systembausteine zu behandeln und in die Perspektive zu integrieren.
Mit freundlichen Grüßen
Markus Albert
