Bundesamt für Sicherheit in der Informationstechnik

Standards für Information Security Management Systeme und Zertifizierung der IT-Sicherheit

Die Etablierung eines umfassenden IT-Sicherheitsmanagements ist eine anspruchsvolle Aufgabe, weil Planungsfehler und unpraktikable Regelungen nur schwer wieder zu korrigieren sind und Sicherheitsprobleme unter Umständen nicht wirkungsvoll verhindert werden.

Es gibt inzwischen eine Reihe von Standards und Regelwerken, zum Beispiel BS 7799-2, ISO 17799, ISO/IEC TR 13335 und die IT-Grundschutz-Kataloge des BSI, die Anleitungen für ein effektives IT-Sicherheitsmanagement bieten. BS 7799-2 und die IT-Grundschutz-Kataloge bieten zudem noch ein Zertifizierungsverfahren, mit dem die erfolgreiche Umsetzung der geforderten Maßnahmen nach innen und außen dokumentiert werden kann.

Viele IT-Anwender und Berater wünschen sich unabhängige Informationen über die gängigen Standards der IT-Sicherheit, um den für ihre Bedürfnisse am besten geeigneten auswählen zu können.
Ein detaillierter Vergleich der unterschiedlichen Werke ist dabei nicht einfach, weil sich die Vorgehensweisen und Zielgruppen sehr stark unterscheiden. Das Spektrum der Maßnahmen reicht von generischen Maßnahmen auf Management-Ebene bis zu detaillierten technischen Anweisungen, als Zielgruppen werden Manager, Revisoren wie Administratoren angesprochen.
Ein weiteres Problem besteht darin, dass alle oben als Beispiel genannten Werke zur Zeit intensiv überarbeitet werden. Ein umfangreicher inhaltlicher Vergleich der Maßnahmen wäre daher nur eine Momentaufnahme und zur Zeit nicht sehr aussagefähig.

Das BSI hat zwei Studien in Auftrag gegeben, um die aktuelle Diskussion um "Information Security Management Systeme" und Zertifizierung von IT-Sicherheit zu beleben.

Die erste Studie zu ISO-Normungsaktivitäten ISO/BPM - Vergleich (PDF, 524KB, Datei ist nicht barrierefrei) vergleicht die Audit- und Zertifizierungsschemata nach BS 7799-2 und IT-Grundschutz.

Die zweite Studie zu ISO-Normungsaktivitäten ISO/BPM - ISMS (PDF, 619KB, Datei ist nicht barrierefrei) stellt allgemeine Anforderungen an Information Security Management Systeme zusammen und untersucht, in wieweit das IT-Sicherheitsmanagement in den IT-Grundschutz-Katalogen, BS 7799-2, ISO/IEC TR 13335, ITIL Security Management, Cobit und TC 68 diese Anforderungen bereits erfüllen.