Bundesamt für Sicherheit in der Informationstechnik

ISO 27001 Zertifizierung auf Basis von IT-Grundschutz

Die IT-Grundschutz-Vorgehensweise stellt zusammen mit den IT-Grundschutz-Katalogen und dessen Empfehlungen von Standard-Sicherheitsmaßnahmen inzwischen einen De-Facto-Standard für IT-Sicherheit dar.
Die Vorgehensweise bei der Umsetzung dieser Empfehlungen ist im BSI-Standard 100-2: IT-Grundschutz-Vorgehensweise zu finden. Weitere wichtige Informationen enthalten die BSI-Standards 100-1: Managementsysteme für Informationssicherheit und 100-3: Risikoanalyse auf der Basis von IT-Grundschutz.

Von vielen Institutionen, die die IT-Grundschutz-Vorgehensweise umsetzen, wurde der Wunsch geäußert, dies durch ein Zertifikat bestätigt zu bekommen. Hierfür hat das BSI gemeinsam mit Interessenten aus der Wirtschaftein Zertifizierungsschema für IT-Grundschutz erarbeitet und an die internationale Zertifizierungsnorm für Informationssicherheitsmanagementsysteme (DIN ISO/IEC 27001) angepasst.

Seit Anfang des Jahres 2006 werden daher ISO 27001-Zertifizierungen auf der Basis von IT-Grundschutz beim BSI durchgeführt. Die Integration der DIN ISO/IEC 27001-Norm, welche aus der BS 7799-2 hervorgegangen ist, macht diese Zertifizierung auf der Basis von IT-Grundschutz besonders für international tätige Institutionen interessant.

Um Behörden und Unternehmen einen Migrationspfad anbieten und wichtige Meilensteine bei der schrittweisen Umsetzung der Standard-Sicherheitsmaßnahmen transparent machen zu können, definiert das BSI zwei Vorstufen des eigentlichen IT-Grundschutz-Zertifikats:

  • das Auditor-Testat "IT-Grundschutz Einstiegsstufe" und
  • das Auditor-Testat "IT-Grundschutz Aufbaustufe".

Allerdings dürfen die Testate nur von einem beim BSI zertifizierten Auditoren vergeben werden.

Voraussetzung für die Vergabe eines ISO 27001-Zertifikats auf der Basis von IT-Grundschutz ist eine Überprüfung durch einen vom BSI zertifizierten ISO 27001-Grundschutz-Auditor. Zu den Aufgaben eines ISO 27001-Grundschutz-Auditors gehört eine Sichtung der von der Institution erstellten Referenzdokumente, die Durchführung einer Vor-Ort-Prüfung und die Erstellung eines Audit-Reports. Für die Vergabe eines ISO 27001-Zertifikats muss dieser Audit-Report zur Überprüfung dem BSI vorgelegt werden. Auf der Grundlage des Auditreports und der Zertifizierung nach ISO 27001 auf der Basis von IT-Grundschutz - Zertifizierungsschema; Version 1.2 (PDF, 711KB, Datei ist barrierefrei⁄barrierearm) wird durch das BSI eine Zertifizierungsentscheidung gefällt.

Vorteile und Stellenwert:

Das BSI stellt hohe Anforderungen an die zertifizierten Auditoren, um eine gleichbleibend hohe Qualität der Audits zu gewährleisten. Weitere Informationen zur Qualifizierung als ISO 27001-Grundschutz-Auditor durch das BSI sind zu finden unter: Zertifizierung nach ISO 27001 auf der Basis von IT-Grundschutz - Zertifizierungsschema; Version 1.2 (PDF, 711KB, Datei ist barrierefrei⁄barrierearm)

Nähere Informationen zur Vorgehensweise bei der ISO 27001-Zertifizierung auf der Basis von IT-Grundschutz finden Sie neben der Auflistung anderer Zertifizierungen im Faltblatt "Broschüre "Zertifizierte IT-Sicherheit" (PDF, 2MB, Datei ist barrierefrei⁄barrierearm)".

Durch eine Zertifizierung wird nachgewiesen, dass in einem IT-Verbund die Standardsicherheitsmaßnahmen nach IT-Grundschutz umgesetzt wurden. Damit können auf verschiedenen Gebieten Vorteile erlangt werden:

  • IT-Dienstleister möchten mit Hilfe dieses Zertifikats einen vertrauenswürdigen Nachweis erbringen, dass sie die Maßnahmen nach der IT-Grundschutz-Vorgehensweise realisiert haben.
  • Kooperierende Unternehmen möchten sich darüber informieren, welchen Grad von IT-Sicherheit ihre Geschäftspartner zusichern können. Von Institutionen, die an ein Netz neu angeschlossen werden, wird der Nachweis darüber verlangt, dass sie eine ausreichende IT-Sicherheit besitzen, damit durch den Anschluss ans Netz keine untragbaren Risiken entstehen. Unternehmen und Behörden möchten Kunden bzw. Bürgern gegenüber ihre Bemühungen um eine ausreichende IT-Sicherheit deutlich machen.
  • Da IT-Grundschutz mit seinen Empfehlungen von Standard-Sicherheitsmaßnahmen inzwischen einen Quasi-Standard für IT-Sicherheit darstellt, bietet es sich an, dies als allgemein anerkanntes Kriterienwerk für IT-Sicherheit zu verwenden.