Warum ISO 27001 und BSI die IT Sicherheit erhöht

Zertifizierungen sind für die IT besonders wichtig. Schließlich stehen sie Synonym für die Sicherheit in Unternehmen, nicht nur in puncto Datenverkehr. Sie tragen zusätzlich dazu bei, Vertrauen beim Verbraucher zu schaffen und somit die Zukunftsfähigkeit der Organisation dauerhaft sicherzustellen. In vielen Unternehmen dienen entweder der IT-Grundschutz des Bundesamtes für Informationssicherheit (BSI) oder die ISO 27001 als Basis für die entsprechenden Aktivitäten. Darum ging es unter anderem in meinem letzten Beitrag zum Thema Zertifizierungen der IT Sicherheit. Im Folgenden verrate ich Ihnen, warum eine „Sowohl-als-auch-Strategie“, also das Verwenden einer Kombination aus ISO 27001 und BSI, für Sie sinnvoll sein kann.

Gibt es Gemeinsamkeiten zwischen der ISO 27001 und dem vom BSI herausgegebenen IT-Grundschutz?

Informationssicherheits-Managementsysteme sowohl nach ISO 27001 als auch nach BSI haben zum Ziel, die IT Sicherheit in Organisationen und Unternehmen im Allgemeinen zu erhöhen. Sicherheitsrisiken im Informationsfluss sollen rechtzeitig erkannt und durch probate Gegenmaßnahmen idealerweise verhindert beziehungsweise mindestens auf ein Minimum reduziert werden.

Um dieses Vorhaben zu erreichen, gehen ISO 27001 und BSI IT-Grundschutz jedoch unterschiedliche Wege.

Was sind die Unterschiede zwischen ISO 27001 und BSI?

Zwischen der ISO 27001 und dem BSI IT-Grundschutz gibt es signifikante Unterschiede, die sich aber sehr gut ergänzen können. Auf diesen Umstand kommen wir später noch einmal ausführlicher zurück.

Analysiert man den IT-Grundschutz des BSI zunächst für sich alleine, dann lässt sich feststellen, dass dieser sehr umfangreich ist. Über 4.000 Seiten Informationsmaterial und über 1.000 vorgeschlagene konkrete Sicherheitsmaßnahmen und Handlungsempfehlungen sollen für ein ausreichendes Schutzniveau der IT-Systeme sorgen.

Demgegenüber ist die ISO 27001 allgemeiner gestaltet und entfaltet ihre Gültigkeit für sämtliche Organisationen, unabhängig beispielsweise von deren Größe oder rechtlicher Eigentumsstruktur. Die ISO 27001 gibt zudem Hinweise, wie Unternehmen ein leistungsfähiges Informationssicherheits-Managementsystem (ISMS) unter Berücksichtigung der spezifischen individuellen Situation einführen, umsetzen und überwachen können. Dabei ist der inhaltliche Umfang der ISO 27001 mit nur ungefähr 30 Seiten überschaubar und lässt entsprechend viel Spielraum für die Umsetzung. Dies steht im Gegensatz zum IT-Grundschutz des BSI, der ja sehr ausführlich und mit konkreten Handlungsanweisungen verbunden ist. Nichtsdestotrotz hat sich die ISO 27001 vermutlich gerade wegen ihres allgemein gehaltenen Ansatzes international zur führenden Norm für Informationssicherheits-Managementsysteme entwickelt.

Warum lohnt sich für Unternehmen eine Kombination aus ISO 27001 und BSI?

Für gewöhnlich entscheiden sich Unternehmen, wenn es um die Informationssicherheit und damit die Einführung eines Informationssicherheits-Managementsystems geht, entweder für die ISO 27001 oder den BSI IT-Grundschutz. Warum eigentlich? Denn genauso kann ein „Sowohl-als-auch“ zielführend sein und dazu beitragen, die Datensicherheit zusätzlich zu erhöhen. Denn: Vom Grundsatz her sind beide Varianten miteinander kompatibel!

So ist das Analysieren von Risiken beispielsweise elementarer Bestandteil der ISO 27001, während dies beim BSI viel zu kurz käme, wie Kritiker bemängeln. Dafür bietet der BSI im Gegensatz zur ISO 27001 einen detaillierten Maßnahmenkatalog an, der bei Letzterem fehlt. Im Übrigen wirkt sich die ISO 27001 auf das gesamte Unternehmen aus, da sie ganzheitlicher arbeitet. Die Verantwortung des Managements für das Thema Informationssicherheit wird von der ISO 27001 nämlich betont, was dafür sorgen soll, dass die Norm über alle Hierarchieebenen hinweg im Unternehmen gelebt wird. 

Fazit

Sie sehen: Möglichkeiten, dass ISO 27001 und BSI IT-Grundschutz voneinander profitieren, gibt es viele. Jetzt liegt es nur noch an Ihnen, diese Vorteile auch für Ihr Unternehmen zu nutzen und die IT Sicherheit weiter zu erhöhen.