ISO 27001 oder BSI IT-Grundschutz – Was Sie wissen müssen

ISO 27001 oder BSI IT-Grundschutz – Was Sie wissen müssen

Beitrag vom 03.05.2021

Zur Themenwelt Informationssicherheit

Welcher Standard ist der Richtige?

Die ISO 27001 und der BSI IT-Grundschutz sind Standards zur Sicherstellung der Informationssicherheit, die durch die immer weiter voranschreitende Digitalisierung so wichtig sind wie noch nie. Sensible Prozesse und Daten müssen geschützt werden, um langfristig als Unternehmen am Markt bestehen zu können.

Doch welcher Standard ist für Ihr Unternehmen der richtige? Wir haben alle Informationen, die Sie für Ihre Entscheidung brauchen, zusammengefasst.
 

Was steckt hinter der ISO 27001 und dem BSI-IT-Grundschutz?

Beide Standards werden für den Aufbau und die Weiterentwicklung eines Informationssicherheitsmanagementsystems genutzt und verfolgen ein gemeinsames Ziel: Informationssicherheit.

Sowohl für die ISO 27001 als auch für den BSI IT-Grundschutz reicht es jedoch nicht aus, nur ein Managementsystem zu implementieren. Es müssen zusätzlich bestimmte Mindeststandards erfüllt werden. Diese Maßnahmen finden Sie bei der ISO 27001 im Anhang A, der aus 114 Controls mit verschiedenen Steuerelementen für die einzelnen Bereiche besteht. Bis hierhin unterscheiden sich beide Standards kaum voneinander. Doch der BSI IT-Grundschutz geht insbesondere im Bereich der Informationstechnologie mehr in die Tiefe. Das BSI IT-Grundschutz Kompendium gibt einen ganzen Katalog an Bausteinen, Anforderungen, Umsetzungsmaßnahmen und Gefährdungen an die Hand und ist somit deutlich konkreter und detaillierter. Für welchen Standard sollten Sie sich also entscheiden?
 

ISO 27001 und BSI IT-Grundschutz im Überblick

ISO 27001

  • internationaler und bekanntester Standard
  • geeignet für alle Unternehmensgrößen und Bereiche – auch anwendbar für kleine Unternehmen
  • weltweit geeignet für alle Unternehmen und alle Schutzbedarfe

BSI-IT-Grundschutz

  • nationaler Standard vom BSI
  • grundsätzlich für alle anwendbar; besonders geeignet für behördliche Einrichtungen, Dienstleister aus diesem Bereich und Unternehmen aus kritischen Sektoren wie z. B. KRITIS
  • geeignet für Behörden und Unternehmen, mit hochsensiblen Daten

Wann sollte der BSI-IT-Grundschutz gewählt werden?

Sobald Ihr Unternehmen mit sensiblen Daten arbeitet, Dienstleistungen im Bereich der öffentlichen Verwaltung anbietet oder es sich um eine behördliche Einrichtung handelt, ist der BSI-IT-Grundschutz die richtige Wahl. Denn der national anerkannte Standard gibt Ihnen im Gegensatz zur nativen ISO 27001 konkrete Leitfäden und Handlungsempfehlungen mit an die Hand, die Angaben zum Aufbau eines Informationssicherheitsmanagementsystems enthalten, ebenso wie die Vorgehensweise nach dem IT-Grundschutz und der Erstellung einer Risikoanalyse: Was muss ich in den einzelnen Bereichen meines Unternehmens berücksichtigen? Wie kann ich ein Sicherheitssystem erstellen? Welche Schritte muss ich konkret einhalten? 

Wann sollte die ISO 27001 gewählt werden?

Sobald Sie mit Ihrem Unternehmen international tätig sind, kommen Sie um die ISO 27001 nicht herum. Bei der ISO 27001 handelt es sich um den internationalen Standard, dieser wird häufig als „State of the Art“ der Zertifizierungsstandards bezeichnet. Für ein Informationssicherheitsmanagementsystem (kurz ISMS) ist dies einer der bekanntesten Standards für Informationssicherheit und weltweit anerkannt. Besonders für kleinere Unternehmen, die nicht mit hochsensiblen Daten arbeiten, bietet sich die ISO 27001 an. Denn diese ist gut skalierbar und auf die Größe und die Leistung Ihres Unternehmens anpassbar.

Tipp: Es besteht die Möglichkeit, die Umsetzung beider Standards zu vereinen. Wenn Sie international tätig sind, aber trotzdem mit vertraulichen Daten arbeiten und diese schützen möchten, können Sie Ihr Unternehmen nach ISO 27001 zertifizieren lassen und zusätzlich den BSI IT-Grundschutz als Hilfestellung für den bestimmten Bereich nutzen. Viele Unternehmer wenden diese Kombination in der Praxis an.

Welche Voraussetzungen müssen Sie für eine ISO 27001 oder BSI-IT-Grundschutz-Zertifizierung erfüllen?

Bei beiden Standards ist die Bereitschaft des gesamten Unternehmens gefragt – denn Sie brauchen ein Managementsystem für alle Prozesse im Unternehmen, das sämtliche Bereiche der Informationssicherheit von Anfang an mit einbezieht.

Das bedeutet konkret, dass ein Managementsystem implementiert werden muss, Verantwortlichkeiten festgelegt werden und die Mitarbeiterinnen und Mitarbeiter in den Kompetenzen zur Sicherheit geschult werden müssen. Zudem muss ein Informationssicherheitsmanagementsystem implementiert werden, welches nicht nur initial begutachtet wird, sondern es muss ein kontinuierlicher Verbesserungsprozess dauerhaft umgesetzt werden. Auch die Umsetzung der Mindeststandards muss sichergestellt sein.

Um das zu erfüllen, sollten Sie in Ihrem Unternehmen eine Mitarbeiterin oder einen Mitarbeiter festlegen, der diesen Aufgabenbereich intern verantwortet. Bei der Umsetzung und der Implementierung können Sie Ihre Mitarbeiterinnen und Mitarbeiter durch Weiterbildungen schulen oder Sie können sich Hilfe bei unabhängigen Beratungshäusern holen. Bei der Auswahl eines Beratungshauses sollten Sie darauf achten, dass diese selbst zertifizierte Mitarbeiterinnen oder Mitarbeiter angestellt haben oder selbst mit einem ISMS zertifiziert sind.

Die Einführung eines Informationssicherheitsmanagementsystems ist also die zentrale Forderung und Grundvoraussetzung für eine Zertifizierung sowohl für die ISO 27001, als auch für die BSI IT-Grundschutz-Zertifizierung. Doch die Vorgehensweise und die Referenzdokumente unterscheiden sich voneinander, weswegen Sie sich frühzeitig für eine der beiden Lösungen entscheiden sollten.

Der TÜV auch bei IT-Sicherheitsfragen an Ihrer Seite

Sie sind sich noch nicht ganz sicher, welchen Standard Sie wählen sollen oder benötigen Hilfe bei dem Aufbau und der Implementierung eines ISMS nach ISO 27001 oder BSI IT-Grundschutz? Kein Problem! Wir stehen Ihnen gerne zur Seite: Von der Implementierung bis hin zur Auditierung oder mit detaillierten Weiterbildungen.  Als Einstieg empfehlen wir Ihnen eine GAP-Analyse.