ISO 27001 oder BSI IT-Grundschutz – Was Sie wissen müssen

Die ISO 27001 und der BSI IT-Grundschutz sind Standards zur Sicherstellung der Informationssicherheit, die durch die immer weiter voranschreitende Digitalisierung so wichtig sind wie noch nie. Sensible Prozesse und Daten müssen geschützt werden, um langfristig als Unternehmen am Markt bestehen zu können.

Doch welcher Standard ist für Ihr Unternehmen der richtige? Wir haben alle Informationen, die Sie für Ihre Entscheidung brauchen, zusammengefasst.
 

Beide Standards werden für den Aufbau und die Weiterentwicklung eines Informationssicherheitsmanagementsystems genutzt und verfolgen ein gemeinsames Ziel: Informationssicherheit.

Sowohl für die ISO 27001 als auch für den BSI IT-Grundschutz reicht es jedoch nicht aus, nur ein Managementsystem zu implementieren. Es müssen zusätzlich bestimmte Mindeststandards erfüllt werden. Diese Maßnahmen finden Sie bei der ISO 27001 im Anhang A, der aus 114 Controls mit verschiedenen Steuerelementen für die einzelnen Bereiche besteht. Bis hierhin unterscheiden sich beide Standards kaum voneinander. Doch der BSI IT-Grundschutz geht insbesondere im Bereich der Informationstechnologie mehr in die Tiefe. Das BSI IT-Grundschutz Kompendium gibt einen ganzen Katalog an Bausteinen, Anforderungen, Umsetzungsmaßnahmen und Gefährdungen an die Hand und ist somit deutlich konkreter und detaillierter. Für welchen Standard sollten Sie sich also entscheiden?
 

Sobald Ihr Unternehmen mit sensiblen Daten arbeitet, Dienstleistungen im Bereich der öffentlichen Verwaltung anbietet oder es sich um eine behördliche Einrichtung handelt, ist der BSI-IT-Grundschutz die richtige Wahl. Denn der national anerkannte Standard gibt Ihnen im Gegensatz zur nativen ISO 27001 konkrete Leitfäden und Handlungsempfehlungen mit an die Hand, die Angaben zum Aufbau eines Informationssicherheitsmanagementsystems enthalten, ebenso wie die Vorgehensweise nach dem IT-Grundschutz und der Erstellung einer Risikoanalyse: Was muss ich in den einzelnen Bereichen meines Unternehmens berücksichtigen? Wie kann ich ein Sicherheitssystem erstellen? Welche Schritte muss ich konkret einhalten? 

Sobald Sie mit Ihrem Unternehmen international tätig sind, kommen Sie um die ISO 27001 nicht herum. Bei der ISO 27001 handelt es sich um den internationalen Standard, dieser wird häufig als „State of the Art“ der Zertifizierungsstandards bezeichnet. Für ein Informationssicherheitsmanagementsystem (kurz ISMS) ist dies einer der bekanntesten Standards für Informationssicherheit und weltweit anerkannt. Besonders für kleinere Unternehmen, die nicht mit hochsensiblen Daten arbeiten, bietet sich die ISO 27001 an. Denn diese ist gut skalierbar und auf die Größe und die Leistung Ihres Unternehmens anpassbar.

Tipp: Es besteht die Möglichkeit, die Umsetzung beider Standards zu vereinen. Wenn Sie international tätig sind, aber trotzdem mit vertraulichen Daten arbeiten und diese schützen möchten, können Sie Ihr Unternehmen nach ISO 27001 zertifizieren lassen und zusätzlich den BSI IT-Grundschutz als Hilfestellung für den bestimmten Bereich nutzen. Viele Unternehmer wenden diese Kombination in der Praxis an.

Bei beiden Standards ist die Bereitschaft des gesamten Unternehmens gefragt – denn Sie brauchen ein Managementsystem für alle Prozesse im Unternehmen, das sämtliche Bereiche der Informationssicherheit von Anfang an mit einbezieht.

Das bedeutet konkret, dass ein Managementsystem implementiert werden muss, Verantwortlichkeiten festgelegt werden und die Mitarbeiterinnen und Mitarbeiter in den Kompetenzen zur Sicherheit geschult werden müssen. Zudem muss ein Informationssicherheitsmanagementsystem implementiert werden, welches nicht nur initial begutachtet wird, sondern es muss ein kontinuierlicher Verbesserungsprozess dauerhaft umgesetzt werden. Auch die Umsetzung der Mindeststandards muss sichergestellt sein.

Um das zu erfüllen, sollten Sie in Ihrem Unternehmen eine Mitarbeiterin oder einen Mitarbeiter festlegen, der diesen Aufgabenbereich intern verantwortet. Bei der Umsetzung und der Implementierung können Sie Ihre Mitarbeiterinnen und Mitarbeiter durch Weiterbildungen schulen oder Sie können sich Hilfe bei unabhängigen Beratungshäusern holen. Bei der Auswahl eines Beratungshauses sollten Sie darauf achten, dass diese selbst zertifizierte Mitarbeiterinnen oder Mitarbeiter angestellt haben oder selbst mit einem ISMS zertifiziert sind.

Die Einführung eines Informationssicherheitsmanagementsystems ist also die zentrale Forderung und Grundvoraussetzung für eine Zertifizierung sowohl für die ISO 27001, als auch für die BSI IT-Grundschutz-Zertifizierung. Doch die Vorgehensweise und die Referenzdokumente unterscheiden sich voneinander, weswegen Sie sich frühzeitig für eine der beiden Lösungen entscheiden sollten.

Sie sind sich noch nicht ganz sicher, welchen Standard Sie wählen sollen oder benötigen Hilfe bei dem Aufbau und der Implementierung eines ISMS nach ISO 27001 oder BSI IT-Grundschutz? Kein Problem! Wir stehen Ihnen gerne zur Seite: Von der Implementierung bis hin zur Auditierung oder mit detaillierten Weiterbildungen.  Als Einstieg empfehlen wir Ihnen eine GAP-Analyse.