Beim Thema Information Security stellt sich, vor allem für deutsche Unternehmen, sehr oft die Frage: ISO 27001 oder BSI IT Grundschutz?
Sowohl ISO 27001 als auch BSI IT Grundschutz sind Standards zur Sicherstellung der Informationssicherheit. Aber wonach soll nun die eigene Organisation ausgerichtet werden? Dabei ergeben sich zahlreiche Fragen: Worin unterscheiden sich die beiden Standards? Wo sind sie sich ähnlich? Was sind sind die Vor- und Nachteile? Wie umfangreich ist die Einführung? Mit welchen Kosten ist zu rechnen? Wer kann mich dabei unterstützen? Wo bekomme ich Informationen dazu? Kann man sich zertifizieren lassen?
Wir haben versucht hier die wichtigsten der Fragen zur ISO 27001 vs. BSI IT Grundschutz zu beantworten. Gerne können Sie uns aber auch Ihre persönliche Frage hier hinterlassen, oder sich zu einem unserer kostenfreien ISO 27001 Webinare anmelden.
Worin unterscheidet sich der BSI IT Grundschutz von der ISO 27001?
Beide Standards haben die Sicherheit der Informationen zum Ziel. Im Folgenden finden Sie zuerst eine Zusammenfassung von BSI IT Grundschutz und dann der ISO 27001, sowie eine Darstellung der wesentlichen Unterschiede.
BSI IT Grundschutz
BSI IT Grundschutz ist eine vom deutschen Bundesamt für Informationssicherheit (BSI) entwickelte Vorgehensweise zur Analyse sowie zur Verbesserung der Informationstechnik. Die vom BSI herausgegeben und regelmäßig aktualisierten IT Grundschutz Kataloge bilden dafür die Basis. Sie zeigen konkrete Maßnahmen zur Sicherstellung der Informationssicherheit auf. Wird vom BSI IT-Grundschutz gesprochen so werden zumeist die Standards 100-1 Informationssicherheitsmanagmentsystem (ISMS), 100-2 Vorgehensweise nach IT-Grundschutz, 100-3 Risikoanalyse für hohen und sehr hohen Schutzbedarf, sowie 100-4 usiness Continuity Management gemeint. Der IT Grundschutz wird allgemein als sehr umfangreich und sehr detailliert erachtet.
ISO 27001
Die ISO 27001 ist eine Norm der International Organization for Standardization (ISO). Sie spezifiziert die Anforderungen für die Herstellung, Einführung, Betrieb, Überwachung, Wartung und Verbesserung eines dokumentierten Informationssicherheitsmanagementsystems (ISMS). Für Unternehmen besteht die Möglichkeit sich nach der aktuellen Version ISO 27001:2015 (auf Englisch ISO 27001:2013) zu zertifizieren. Die ISO 27001 beschreibt das Information Security Management System und im Anhang A sind ca. 130 Sicherheitsmaßnahmen (Controls) aufgeführt. Diese Controls sind in der ISO 27002 im Detail beschrieben. Eine Ausrichtung an der ISO 27001 wird zumeist zur Sicherung der eigenen Informationen angestrebt. Eine Zertifizierung nach ISO 27001 wird häufig durch externe Anforderungen (z.B. Kundenforderungen) angestoßen. Die ISO 27001 ist international anerkannt und weniger aufwändig als eine Zertifizierung nach BSI IT Grundschutz.
Worin sind sich ISO 27001 und BSI IT Grundschutz ähnlich?
BSI IT Grundschutz und ISO 27001 sind vom Ansatz her ähnlich. Beide können für ein „Information Security Management System (ISMS)“ genutzt werden. Mit beiden lassen sich Risiken aus der IT ermitteln und durch geeignete Maßnahmen auf ein akzeptables Maß reduzieren. Nach beiden Standards sind Zertifizierungen möglich.
Wo unterscheiden sich ISO 27001 und BSI IT Grundschutz?
Beide Standards unterscheiden sich nicht so sehr in ihren Zielen und prinzipiellen Vorgehensweisen, aber im Detail gibt es doch wesentliche Unterschiede. Die Vorgehensweisen und Referenzdokumente für eine erfolgreiche Zertifizierung weichen erheblich von einander ab. Eine Entscheidung nach welchem Standard sich die Organisation ausrichtet sollte daher möglichst frühzeitig getroffen werden. Ein wesentlicher Unterschied zwischen den Standards ergibt sich daraus, dass sich die ISO 27001 an Geschäftsprozessen orientiert.
Entsprechend abstrakt und offen ist die Norm gehalten. Sie lässt Unternehmen größere Freiheit bei der Umsetzung des ISMS. Der BSI IT Grundschutz ist dagegen technisch ausgerichtet und beschreibt konkret und detailliert. Während die ISO 27001 mit ca. 100 Seiten das Auslangen findet, umfassen die Grundschutzkataloge mehr als 350(!) Seiten.
Wer kann mich dabei unterstützen?
Gerne unterstützen wir Sie bei der Wahl des für Sie am besten geeigneten Standards. Senden Sie uns einfach eine kurze Nachricht per Mail oder über unser Kontaktformular.
Wo bekomme ich Informationen dazu?
Die ISO 27001 wird von verschieden Anbietern zum kostenpflichtigen Download angeboten. Alle Quellen finden Sie auf unserer Seite ISO 27001 Download. Details zum BSI IT Grundschutz finden Sie auf der Seite des Bundesamtes für Informationssicherheit.
Kann man sich zertifizieren lassen?
Sowohl eine Zertifizierung nach BSI IT Grundschutz als auch eine ISO 27001 Zertifizierung ist möglich.
Fazit
Es lohnt sich also jedenfalls sich beide Möglichkeiten der Ausrichtung genauer anzusehen. Wenn es keine grundlegenden anderen Anforderungen gibt, empfehlen wird die Ausrichtung und gegebenenfalls Zertifizierung nach ISO 27001. Für weiterführenden Details und konkrete Implementierungshilfen ist der BSI IT Grundschutz eine ausgezeichnete Quelle.
Kostenloses ISO 27001 Webinar
In unserem Webinar beantworten wir Ihre Fragen zur ISO 27001. Wir zeigen Ihnen, wie Sie auch Ihre Organisation fit für die ISO 27001 machen.
Oder kontaktieren Sie einen Experten. In einem kurzen Gespräch lassen sich Fragen oft schnell klären.