Macht es einen Unterschied ob ein ISMS mit der ISO 27001 oder dem BSI Grundschutz implementiert wird?
Es gibt die ISO 27001 und es gibt den BSI Grundschutz nach ISO 27001 – und es ist nicht ganz klar wo eigentlich die Unterschiede liegen beziehungsweise, ob es überhaupt welche gibt.
Die OPTIMAbit GmbH ist grundsätzlich der Meinung, dass der BSI Grundschutz für Unternehmen nicht der geeignete Ansatz ist. Der BSI Grundschutz wurde für Behörden entwickelt und Behörden funktionieren anders als Unternehmen.
Hier zeigen wir Ihnen die 4 wichtigsten Unterschiede zwischen der ISO 27001 und dem BSI Grundschutz nach ISO 27001:
Internationalität: Unternehmen sollten auf die ISO 27001 setzen, da der BSI Grundschutz hauptsächlich in Deutschland bekannt ist. Große Teile sind nicht auf Englisch verfügbar. Die kontinuierliche Übersetzung der inzwischen über 3000 Seiten ist zu aufwändig in Anbetracht des kaum vorhandenen, internationalen Nutzerkreises. Zum Vergleich: die ISO 27001 umfasst weniger als 20 Seiten.
Methodik: beim BSI Grundschutz wird davon ausgegangen, dass ein Basisschutzniveau erreicht werden soll. Um dies zu erreichen, müssen bestimmte Maßnahmen umgesetzt werden. Im Vergleich dazu schreibt die ISO 27001 keine konkreten Maßnahmen vor, sondern listet 144 Steuerungsmaßnahmen, die jedoch jeder Anwender für sich definieren kann. Der Grundschutz ist eher auf Compliance ausgerichtet während die ISO 27001 als Kern das Risikomanagement nutzt.
Detailebene: die ISO 27001 ist auf Grund Ihres Dokumentenumfanges von nicht mal 20 Seiten an vielen Stellen allgemein formuliert und daher wenig detailliert.
Zertifikat: wer ein ISMS betreibt, möchte die Qualität dessen meistens gegenüber Dritten durch eine Zertifizierung nachweisen. Die Erfahrung zeigt, dass nicht zertifizierte ISMS meistens vom Soll entfernt sind und über die Zeit nicht nachhaltig betrieben werden. Während man bei der ISO 27001 die Wahl eines Zertifizierers unter verschiedenen Aspekten wählen kann (z.B. Reputation, Sitz, Internationalität…), ist dies beim BSI Grundschutz immer das Bundesamt für Sicherheit in der Informationstechnik.
Wir implementieren in Absprache mit Ihnen alle notwendigen Anforderungen der ISO 27001:2013, führen Audits durch und schulen Ihre Mitarbeiter dementsprechend.
Senden Sie uns Ihre Anfrage – wir freuen uns auf die Zusammenarbeit mit Ihnen!
Ihr OPTIMAbit-Experten-Team