Abgrenzung IT-Grundschutz – ISO 27001 – KRITIS-Audit
Version vom 14. September 2025, 19:10 Uhr von Thomas.will (Diskussion | Beiträge) (Die Seite wurde neu angelegt: „== IT-Grundschutz == * Deutscher Standard des BSI * Stellt Bausteine, Maßnahmen und Vorgehensweisen bereit (Kataloge) * Ziel: systematische Informationssicher…“)
IT-Grundschutz
- Deutscher Standard des BSI
- Stellt Bausteine, Maßnahmen und Vorgehensweisen bereit (Kataloge)
- Ziel: systematische Informationssicherheit in Organisationen
- Fokus auf Vollständigkeit und Methodik (Schutzbedarf → Bausteine → Maßnahmen)
- Ergebnis: IT-Sicherheitskonzept mit dokumentierten Anforderungen, Umsetzung, Restrisiken
ISO 27001
- Internationaler Standard für Informationssicherheits-Managementsysteme (ISMS)
- Basiert auf der High Level Structure (HLS) der ISO-Normen
- Enthält Annex A mit 93 Controls (Themenbereiche: Organisation, Technik, Personal, Lieferkette)
- Zertifizierung weltweit anerkannt
- BSI bietet Variante „ISO 27001 auf der Basis von IT-Grundschutz“ an
- Kombiniert internationale Anerkennung (ISO 27001) mit nationalen Bausteinen (Grundschutz)
KRITIS-Audit
- Spezieller Prüfrahmen nach dem BSI-Gesetz (§8a BSIG)
- Verpflichtend für Betreiber kritischer Infrastrukturen (z. B. Energie, Wasser, Gesundheit, IT/TK)
- Ziel: Nachweis angemessener organisatorischer und technischer Maßnahmen zur IT-Sicherheit
- Audit alle 2 Jahre durch eine unabhängige, vom BSI zugelassene Stelle
- Grundlage kann sein:
- ISO 27001
- ISO 27001 auf Basis von IT-Grundschutz
- Branchen-Sicherheitskataloge (z. B. Energiewirtschaft)
- Ergebnis: Prüfbericht + Management Summary → an das BSI
Abgrenzung
- IT-Grundschutz = Werkzeugkasten / Methodik (national)
- ISO 27001 = formaler Managementsystem-Standard (international)
- KRITIS-Audit = gesetzlich vorgeschriebene Prüfung für kritische Infrastrukturen