Sicherheit kann nun einmal nach der bewährten, vom BSI entwickelten Vorgehensweise IT-Grundschutz, aber auch nach Standards der ISO-Familie eingeführt und kontrolliert werden.

Vieles hängt von der Wahl der Risiko Management ab. Während die ISO 27001 voll und ganz auf ein Risikomanagement setzt und in jedem Fall eine Risikoanalyse vorschreibt, so ist diese beim BSI IT-Grundschutz nur in besonderen Fällen notwendig. Wer allerdings viel mit internationalen Partnern zu tun hat sollte sich überlegen einen nationalen Standard anzuwenden, oder einen internationalen. Denn der BSI IT-Grundschutz ist im internationalen Umfeld nicht so angesehen wie die ISO 27001 und immer mehr Versicherer fordern die ISO 27001 Zertifizierung wenn man bspw. eine Cyber Security Versicherung haben möchte.

Meine Empfehlung, es lohnt sich beides zu betrachten und in den Kontext der Organisation und dem Environment zu setzen. Wenn die Organisation KEINE Bundesbehörde oder Bundesanstalt ist, wo KRITIS oder vergleichbares zur Anwendung kommen muss, könnte die ISO 27001 die bessere Wahl sein.

ABER auch dort wo KRITIS Anwendung findet, kann die ISO 27001 quasi als Add-On eingeführt werden.