Bundesamt für Sicherheit in der Informationstechnik

BSI stellt neue Zertifizierung für ISMS vor

Datum 12.08.2016

Das Bundesamt für Sicherheit in der Informationssicherheit (BSI) hat einen neuen Zertifizierungsstrang für Informationssicherheitsmanagementsysteme (ISMS)veröffentlicht. Das Konzept beschreibt wie eine Zertifizierung erfolgen kann, wenn das ISMS nach ISO/IEC 27001 aufgebaut ist und eine entsprechende Technische Richtlinie (TR) des BSI berücksichtigt wird.

Diese sogenannte sektorspezifische ISMS-Zertifizierung wird notwendig, wenn zusätzlich zum Nachweis des generellen Betriebs eines ISMS auf Basis der
ISO/IEC 27001 auch bestimmte Anforderungen für eine spezielle Zielgruppe erfüllt sein sollen. Technische Richtlinien, die diese Anforderungen beschreiben, werden vom BSI entwickelt und publiziert. Dies erfolgt ausschließlich beim Bedarf der nationalen Sicherheit oder des öffentlichen Interesses.

Die Konformität eines Managementsystems zu einer TR (in Verbindung mit der Konformität zur ISO/IEC 27001) kann durch eine von der DakkS akkreditierten Zertifizierungsstelle für ISMS mit einem Zertifikat bestätigt werden. Im Zuge dieses Verfahrens wird durch einen Auditor eine Begutachtung auf Grundlage der in der Technischen Richtlinie vorgegebenen Anforderungen durchgeführt.

Das Konzept ist in den Hinweisen für Zertifizierungsstellen von sektorspezifischen Managementsystemen basierend auf der ISO/IEC 27001 beschrieben. Derzeit ist für folgende TR eine Zertifizierung nach diesem Konzept in Vorbereitung: TR-03108 Secure E-Mail Transport