Bundesamt für Sicherheit in der Informationstechnik

ISO 27001 Zertifizierung auf Basis von IT-Grundschutz

Die IT-Grundschutz-Vorgehensweise stellt zusammen mit den IT-Grundschutz-Katalogen und dessen Empfehlungen von Standard-Sicherheitsmaßnahmen inzwischen einen De-Facto-Standard für IT-Sicherheit dar.
Die Vorgehensweise bei der Umsetzung dieser Empfehlungen ist im BSI-Standard 100-2: IT-Grundschutz-Vorgehensweise zu finden. Weitere wichtige Informationen enthalten die BSI-Standards 100-1: Managementsysteme für Informationssicherheit und 100-3: Risikoanalyse auf der Basis von IT-Grundschutz.

Von vielen Institutionen, die die IT-Grundschutz-Vorgehensweise umsetzen, wurde der Wunsch geäußert, dies durch ein Zertifikat bestätigt zu bekommen. Hierfür hatte daher das BSI gemeinsam mit Interessenten aus der Wirtschaft ein Zertifizierungsschema für IT-Grundschutz erarbeitet.

Damit das IT-Grundschutz-Zertifikat des BSI künftig auch die internationale Zertifizierungsnorm für Informationssicherheitsmanagementsysteme (ISO 27001) mit abdeckt, wurden nicht nur die IT-Grundschutz-Vorgehensweise und die IT-Grundschutz-Kataloge an diese angepasst, sondern auch das Zertifizierungsschema.

Seit Anfang des Jahres 2006 können daher auch ISO 27001-Zertifikate auf der Basis von IT-Grundschutz beim BSI beantragt werden. Die Integration von ISO 27001, der aus der BS 7799-2 hervorgegangen ist, macht diese ISO 27001-Zertifizierung auf der Basis von IT-Grundschutz besonders für international tätige Institutionen interessant.

Um Behörden und Unternehmen einen Migrationspfad anbieten und wichtige Meilensteine bei der schrittweisen Umsetzung der Standard-Sicherheitsmaßnahmen transparent machen zu können, definiert das BSI weiterhin zwei Vorstufen des eigentlichen IT-Grundschutz-Zertifikats:

  • das Auditor-Testat "IT-Grundschutz Einstiegsstufe" und
  • das Auditor-Testat "IT-Grundschutz Aufbaustufe".

Damit bleibt das Qualifizierungsverfahren über "Einstiegstufe" und "Aufbaustufe" weiterhin bestehen, allerdings dürfen die Testate nur von beim BSI zertifizierten Auditoren vergeben werden.

Voraussetzung für die Vergabe eines ISO 27001-Zertifikats auf der Basis von IT-Grundschutz oder eines Auditor-Testats ist eine Überprüfung durch einen vom BSI zertifizierten ISO 27001-Grundschutz-Auditor. Zu den Aufgaben eines ISO 27001-Grundschutz-Auditors gehört eine Sichtung der von der Institution erstellten Referenzdokumente, die Durchführung einer Vor-Ort-Prüfung und die Erstellung eines Audit-Reports. Für die Vergabe eines ISO 27001-Zertifikats muss dieser Audit_Report zur Überprüfung dem BSI vorgelegt werden. Auf der Grundlage des Auditreports und der Zertifizierung nach ISO 27001 auf der Basis von IT-Grundschutz - Zertifizierungsschema; Version 1.2 (PDF, 711KB, Datei ist barrierefrei⁄barrierearm) wird entschieden, ob ein Zertifikat ausgestellt werden kann oder nicht.

Vorteile und Stellenwert:

Das BSI stellt hohe Anforderungen an die zertifizierten Auditoren, um eine gleichbleibend hohe Qualität der Audits zu gewährleisten. Weitere Informationen zu den Voraussetzungen, um von BSI als ISO 27001-Grundschutz-Auditor zertifiziert zu werden, sind in der Zertifizierung nach ISO 27001 auf der Basis von IT-Grundschutz - Zertifizierungsschema; Version 1.2 (PDF, 711KB, Datei ist barrierefrei⁄barrierearm) zu finden.

Nähere Informationen zur Vorgehensweise bei der ISO 27001-Zertifizierung auf der Basis von IT-Grundschutz finden Sie neben der Auflistung anderer Zertifizierungen im Faltblatt "Broschüre "Zertifizierte IT-Sicherheit" (PDF, 2MB, Datei ist barrierefrei⁄barrierearm)".

Durch eine Zertifizierung wird nachgewiesen, dass in einen IT-Verbund die Standardsicherheitsmaßnahmen nach IT-Grundschutz umgesetzt wurden. Damit können auf verschiedenen Gebieten Vorteile erlangt werden:

IT-Dienstleister möchten mit Hilfe dieses Zertifikats einen vertrauenswürdigen Nachweis erbringen, dass sie die Maßnahmen nach der IT-Grundschutz-Vorgehensweise realisiert haben.

Kooperierende Unternehmen möchten sich darüber informieren, welchen Grad von IT-Sicherheit ihre Geschäftspartner zusichern können. Von Institutionen, die an ein Netz neu angeschlossen werden, wird der Nachweis darüber verlangt, dass sie eine ausreichende IT-Sicherheit besitzen, damit durch den Anschluss ans Netz keine untragbaren Risiken entstehen. Unternehmen und Behörden möchten Kunden bzw. Bürgern gegenüber ihre Bemühungen um eine ausreichende IT-Sicherheit deutlich machen.

Da IT-Grundschutz mit seinen Empfehlungen von Standard-Sicherheitsmaßnahmen inzwischen einen Quasi-Standard für IT-Sicherheit darstellt, bietet es sich an, dies als allgemein anerkanntes Kriterienwerk für IT-Sicherheit zu verwenden.