IT-Grundschutz

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) ist die Behörde für IT-Sicherheit in Deutschland. Sie unterstützt Unternehmen mit vielfältigen Angeboten dabei, ihre IT-Sicherheit zu verbessern. Unter anderem zertifiziert sie Unternehmen. Ein ISMS kann entweder nach der internationalen Norm ISO 27001 umgesetzt werden oder auf Basis des IT-Grundschutzes.

Die ISO 27001 ist ein abstrakter, prozessorientierter Ansatz, der Rahmenbedingungen liefert und viel Spielraum für Umsetzung lässt. Hier ist viel Expertise und Eigeninitiative nötig.

Die Zertifizierung läuft über unabhängige Prüfstellen wie den TÜV oder die Dekra.

Eine ISO 27001 Zertifizierung auf der Basis von IT-Grundschutz ist eine Ergänzung zu ISO 27001 mit strengeren, umfangreicheren Vorgaben, was mehr Umsetzungsaufwand erfordert. Es ist sehr viel konkreter und liefert dem Unternehmen viele Handlungsempfehlungen und Umsetzungshinweise. Der IT-Grundschutz ist nach einem Baukastenprinzip aufgebaut, so können sich Unternehmen nur die für sich relevanten Bausteine aussuchen. Gefährdungen sind bereits definiert und es muss keine eigene Risikoanalyse erfolgen. Zusammenfassend kann man den IT-Grundschutz als eine Art Kochrezept zur Umsetzung eines normalen Schutzniveaus verstehen. Auch wenn Sie keinen Spezialisten haben, können sie die Maßnahmen selbst identifizieren und die Umsetzung veranlassen.

Um den Einstieg in den IT-Grundschutz zu vollziehen, hat das BSI einen Online-Kurs erstellt, der Ihnen die Grundzüge und Bausteine des Grundschutzes erläutert.

Die Zertifizierung kann beim BSI beantragt werden. 

Wie Sie als KMU das Thema Informationssicherheitsmanagementsystem angehen können, finden Sie im Leitfaden des BSI.