Zum Inhalt springen

Informationssicherheit

ISO 27001 vs BSI-Grundschutz – Was Sie wissen müssen

ISO 27001 und BSI IT-Grundschutz sind Standards zur Sicherstellung der Informationssicherheit. Doch welcher ist für Ihr Unternehmen der Richtige?

Zum Blog Wissen kompakt
Mann mit Bart arbeitet fokussiert am Computer mit Datenvisualisierung auf dem Monitor im modernen Büro
03. Mai 2021

Welcher Standard ist der richtige?

Die ISO 27001 und der BSI IT-Grundschutz sind Standards zur Sicherstellung der Informationssicherheit, die durch die immer weiter voranschreitende Digitalisierung so wichtig sind wie noch nie. Sensible Prozesse und Daten müssen geschützt werden, um langfristig als Unternehmen am Markt bestehen zu können.

Doch welcher Standard ist für Ihr Unternehmen der richtige? Wir haben alle Informationen, die Sie für Ihre Entscheidung brauchen, zusammengefasst.

Was steckt hinter der ISO 27001 und dem BSI-IT-Grundschutz?

Beide Standards werden für den Aufbau und die Weiterentwicklung eines Informationssicherheitsmanagementsystems genutzt und verfolgen ein gemeinsames Ziel: Informationssicherheit.

Sowohl für die ISO 27001 als auch für den BSI IT-Grundschutz reicht es jedoch nicht aus, nur ein Managementsystem zu implementieren. Es müssen zusätzlich bestimmte Mindeststandards erfüllt werden. Diese Maßnahmen finden Sie bei der ISO 27001 im Anhang A, der aus 114 Controls mit verschiedenen Steuerelementen für die einzelnen Bereiche besteht. Bis hierhin unterscheiden sich beide Standards kaum voneinander. Doch der BSI IT-Grundschutz geht insbesondere im Bereich der Informationstechnologie mehr in die Tiefe. Das BSI IT-Grundschutz Kompendium gibt einen ganzen Katalog an Bausteinen, Anforderungen, Umsetzungsmaßnahmen und Gefährdungen an die Hand und ist somit deutlich konkreter und detaillierter. Für welchen Standard sollten Sie sich also entscheiden?

ISO 27001 und BSI IT-Grundschutz im Überblick:

ISO 27001

  • internationaler und bekanntester Standard
  • geeignet für alle Unternehmensgrößen und Bereiche – auch anwendbar für kleine Unternehmen
  • weltweit geeignet für alle Unternehmen und alle Schutzbedarf

BSI-IT-Grundschutz

  • nationaler Standard vom BSI
  • grundsätzlich für alle anwendbar; besonders geeignet für behördliche Einrichtungen, Dienstleister aus diesem Bereich und Unternehmen aus kritischen Sektoren wie z. B. KRITIS
  • geeignet für Behörden und Unternehmen, mit hochsensiblen Daten

TÜV NORD – Ihr Partner für berufliche Weiterbildungen

Vielfalt

Über 900 qualifizierte Referentinnen und Referenten geben ihr Know-how in über 520 verschiedenen Seminarthemen täglich an Sie weiter.

Flexibilität

Wir bieten Ihnen volle Flexibilität. Entscheiden Sie selbst, ob Sie an unserem OnlineCampus, einer Präsenzschulung oder an einer für Sie konzipierten Inhouse-Schulung teilnehmen möchten.

Qualität

Wir stehen für Qualität. Unsere Zertifikate und Bescheinigungen sind Qualitätssiegel für Sie und Ihr Unternehmen.

Wann sollte der BSI-IT-Grundschutz gewählt werden?

Sobald Ihr Unternehmen mit sensiblen Daten arbeitet, Dienstleistungen im Bereich der öffentlichen Verwaltung anbietet oder es sich um eine behördliche Einrichtung handelt, ist der BSI-IT-Grundschutz die richtige Wahl. Denn der national anerkannte Standard gibt Ihnen im Gegensatz zur nativen ISO 27001 konkrete Leitfäden und Handlungsempfehlungen mit an die Hand, die Angaben zum Aufbau eines Informationssicherheitsmanagementsystems enthalten, ebenso wie die Vorgehensweise nach dem IT-Grundschutz und der Erstellung einer Risikoanalyse: Was muss ich in den einzelnen Bereichen meines Unternehmens berücksichtigen? Wie kann ich ein Sicherheitssystem erstellen? Welche Schritte muss ich konkret einhalten? 

Wann sollte die ISO 27001 gewählt werden?

Sobald Sie mit Ihrem Unternehmen international tätig sind, kommen Sie um die ISO 27001 nicht herum. Bei der ISO 27001 handelt es sich um den internationalen Standard, dieser wird häufig als „State of the Art“ der Zertifizierungsstandards bezeichnet. Für ein Informationssicherheitsmanagementsystem (kurz ISMS) ist dies einer der bekanntesten Standards für Informationssicherheit und weltweit anerkannt. Besonders für kleinere Unternehmen, die nicht mit hochsensiblen Daten arbeiten, bietet sich die ISO 27001 an. Denn diese ist gut skalierbar und auf die Größe und die Leistung Ihres Unternehmens anpassbar.

Tipp: Es besteht die Möglichkeit, die Umsetzung beider Standards zu vereinen. Wenn Sie international tätig sind, aber trotzdem mit vertraulichen Daten arbeiten und diese schützen möchten, können Sie Ihr Unternehmen nach ISO 27001 zertifizieren lassen und zusätzlich den BSI IT-Grundschutz als Hilfestellung für den bestimmten Bereich nutzen. Viele Unternehmer wenden diese Kombination in der Praxis an.

Welche Voraussetzungen müssen Sie für eine ISO 27001 oder BSI-IT-Grundschutz-Zertifizierung erfüllen?

Bei beiden Standards ist die Bereitschaft des gesamten Unternehmens gefragt – denn Sie brauchen ein Managementsystem für alle Prozesse im Unternehmen, das sämtliche Bereiche der Informationssicherheit von Anfang an mit einbezieht.

Das bedeutet konkret, dass ein Managementsystem implementiert werden muss, Verantwortlichkeiten festgelegt werden und die Mitarbeiterinnen und Mitarbeiter in den Kompetenzen zur Sicherheit geschult werden müssen. Zudem muss ein Informationssicherheitsmanagementsystem implementiert werden, welches nicht nur initial begutachtet wird, sondern es muss ein kontinuierlicher Verbesserungsprozess dauerhaft umgesetzt werden. Auch die Umsetzung der Mindeststandards muss sichergestellt sein.

Um das zu erfüllen, sollten Sie in Ihrem Unternehmen eine Mitarbeiterin oder einen Mitarbeiter festlegen, der diesen Aufgabenbereich intern verantwortet. Bei der Umsetzung und der Implementierung können Sie Ihre Mitarbeiterinnen und Mitarbeiter durch Weiterbildungen schulen oder Sie können sich Hilfe bei unabhängigen Beratungshäusern holen. Bei der Auswahl eines Beratungshauses sollten Sie darauf achten, dass diese selbst zertifizierte Mitarbeiterinnen oder Mitarbeiter angestellt haben oder selbst mit einem ISMS zertifiziert sind.

Die Einführung eines Informationssicherheitsmanagementsystems ist also die zentrale Forderung und Grundvoraussetzung für eine Zertifizierung sowohl für die ISO 27001, als auch für die BSI IT-Grundschutz-Zertifizierung. Doch die Vorgehensweise und die Referenzdokumente unterscheiden sich voneinander, weswegen Sie sich frühzeitig für eine der beiden Lösungen entscheiden sollten.

Der TÜV auch bei IT-Sicherheitsfragen an Ihrer Seite

Sie sind sich noch nicht ganz sicher, welchen Standard Sie wählen sollen oder benötigen Hilfe bei dem Aufbau und der Implementierung eines ISMS nach ISO 27001 oder BSI IT-Grundschutz? Kein Problem! Wir stehen Ihnen gerne zur Seite: Von der Implementierung bis hin zur Auditierung oder mit detaillierten Weiterbildungen.  Als Einstieg empfehlen wir Ihnen eine GAP-Analyse.

Unsere Empfehlungen für Sie

Seminar & Webinar

Information Security Officer - ISO (TÜV)

Lernen Sie die Rolle des ISO´s im Betrieb und Erfolgsfaktoren für ein Informationsmanagementsystem kennen und buchen Sie Ihre Weiterbildung online!
Zu den Veranstaltungen
Webinar

Erstellung von Sicherheitskonzepten

Beim Erstellen von Konzepten nach BSI IT-Grundschutz sind Geltungsbereich und schutzbedürftige Werte entscheidend.
Zum Webinar
Seminar & Webinar

BCM-Praktiker (TÜV)

Lernen Sie die Grundlagen zum Aufbau und Betrieb eines BCMS gemäß ISO 22301, ISO 27031 sowie des BSI-Standards BSI200-4.
Zu den Veranstaltungen

Weitere Artikel lesen

Zwei IT-Fachkräfte prüfen mit Laptop und Klemmbrett Server in einem Rechenzentrum.
Informationssicherheit & Cyber-Security

NIS2-Richtlinie: Übersicht

Lesen Sie hier mehr zu den wichtigsten Änderungen in der Richtlinie sowie neuen Risiken und Bedrohungen.
Zum Artikel
Programmierer sitzt vor zwei Monitoren mit Code und arbeitet konzentriert an einem Projekt im Homeoffice
Informationssicherheit & Cyber-Security

Was ist ein IT-Sicherheitskonzept?

Mit IT-Sicherheitskonzepten schaffen Sie ein starkes Fundament für umfassenden Schutz.
Zum Artikel
Zwei IT-Fachkräfte analysieren Sicherheitsvorfälle an Monitoren in einem abgedunkelten Büro.
Informationssicherheit & Cyber-Security

IT-Notfallmanagement nach BSI und ISO

Ein IT-Notfallplan kann über das Überleben eines Unternehmens entscheiden.
Zum Artikel
IT-Techniker mit Tablet überprüft Serverracks in einem modernen Rechenzentrum.
Informationssicherheit & Cyber-Security

Gesetze & Normen Informationssicherheit

Produkte und Dienstleistungen verbessern, Kundenzufriedenheit erhöhen, Kosten senken – wir zeigen Ihnen, welche QM-Werkzeuge Sie zukunftsfähig machen.
Zum Artikel
Fachwissen für Ihre berufliche Weiterbildung

Wissen kompakt

Berufliche Weiterbildung hat viele Gesichter und trägt maßgeblich zum Erfolg der Mitarbeitenden sowie des ganzen Unternehmens bei. In unserem Blog "Wissen kompakt" lesen Sie Fachbeiträge zu aktuellen Fragestellungen, die jetzt und in der Zukunft Ihre Arbeitswelt bestimmen.

Unser Blog richtet sich an Fach- und Führungskräfte jeden Alters und jeder Unternehmensgröße, an berufliche Einsteiger genauso wie an erfahrene Arbeitskräfte.

Unser Podcast ist die Antwort auf den Wunsch, unsere Inhalte in einem modernen Format zugänglich zu machen, das bequem nebenbei konsumiert werden kann.

Alle Themen von Wissen kompakt finden Sie hier im Überblick

Ihre Ansprechpartnerin

Melanie Braunschweig, Mitarbeiterin der TÜV NORD Akademie

Melanie Braunschweig

Produktmanagerin Datenschutz und Informationsmanagement
II. Hagen 7, 45127 Essen
Tel.: +49 201 31955-42 / mbraunschweig@tuev-nord.de