IT-Grundschutz

Deutscher Standard des BSI
Stellt Bausteine, Maßnahmen und Vorgehensweisen bereit (Kataloge)
Ziel: systematische Informationssicherheit in Organisationen
Fokus auf Vollständigkeit und Methodik (Schutzbedarf → Bausteine → Maßnahmen)
Ergebnis: IT-Sicherheitskonzept mit dokumentierten Anforderungen, Umsetzung, Restrisiken

ISO 27001

Internationaler Standard für Informationssicherheits-Managementsysteme (ISMS)
Basiert auf der High Level Structure (HLS) der ISO-Normen
Enthält Annex A mit 93 Controls (Themenbereiche: Organisation, Technik, Personal, Lieferkette)
Zertifizierung weltweit anerkannt
BSI bietet Variante „ISO 27001 auf der Basis von IT-Grundschutz“ an
- Kombiniert internationale Anerkennung (ISO 27001) mit nationalen Bausteinen (Grundschutz)

Spezieller Prüfrahmen nach dem BSI-Gesetz (§8a BSIG)
Verpflichtend für Betreiber kritischer Infrastrukturen (z. B. Energie, Wasser, Gesundheit, IT/TK)
Ziel: Nachweis angemessener organisatorischer und technischer Maßnahmen zur IT-Sicherheit
Audit alle 2 Jahre durch eine unabhängige, vom BSI zugelassene Stelle
Grundlage kann sein:
- ISO 27001
- ISO 27001 auf Basis von IT-Grundschutz
- Branchen-Sicherheitskataloge (z. B. Energiewirtschaft)
Ergebnis: Prüfbericht + Management Summary → an das BSI

ISO 27001 ist ein internationaler Managementsystem-Standard (ISMS).
IT-Grundschutz ist eine Methodik mit Bausteinen, die vom BSI bereitgestellt wird.
Das BSI ermöglicht die Zertifizierung nach ISO 27001 auf der Basis von IT-Grundschutz:
- IT-Grundschutz liefert die Methodik zur Umsetzung der ISO-Anforderungen.
- ISO 27001 liefert den formalen Standard für das Zertifikat.
Ergebnis: Wer IT-Grundschutz vollständig umsetzt und prüfen lässt, kann ein international anerkanntes ISO 27001-Zertifikat erhalten.