Bundesamt für Sicherheit in der Informationstechnik

ISO 27001 Zertifizierung auf Basis von IT-Grundschutz

Die IT-Grundschutz-Vorgehensweise stellt zusammen mit den IT-Grundschutz-Katalogen und dessen Empfehlungen von Standard-Sicherheitsmaßnahmen inzwischen einen De-Facto-Standard für IT-Sicherheit dar.
Die Vorgehensweise bei der Umsetzung dieser Empfehlungen ist im BSI-Standard 100-2: IT-Grundschutz-Vorgehensweise zu finden. Weitere wichtige Informationen enthalten die BSI-Standards 100-1: Managementsysteme für Informationssicherheit und 100-3: Risikoanalyse auf der Basis von IT-Grundschutz.

Von vielen Institutionen, die die IT-Grundschutz-Vorgehensweise umsetzen, wurde der Wunsch geäußert, dies durch ein Zertifikat bestätigt zu bekommen. Hierfür hat das BSI gemeinsam mit Interessenten aus der Wirtschaftein Zertifizierungsschema für IT-Grundschutz erarbeitet und an die internationale Zertifizierungsnorm für Informationssicherheitsmanagementsysteme (DIN ISO/IEC 27001) angepasst.

Seit Anfang des Jahres 2006 werden daher ISO 27001-Zertifizierungen auf der Basis von IT-Grundschutz beim BSI durchgeführt. Die Integration der DIN ISO/IEC 27001-Norm, welche aus der BS 7799-2 hervorgegangen ist, macht diese Zertifizierung auf der Basis von IT-Grundschutz besonders für international tätige Institutionen interessant.

Um Behörden und Unternehmen einen Migrationspfad anbieten und wichtige Meilensteine bei der schrittweisen Umsetzung der Standard-Sicherheitsmaßnahmen transparent machen zu können, definiert das BSI zwei Vorstufen des eigentlichen IT-Grundschutz-Zertifikats:

  • das Auditor-Testat "IT-Grundschutz Einstiegsstufe" und
  • das Auditor-Testat "IT-Grundschutz Aufbaustufe".

Allerdings dürfen die Testate nur von einem beim BSI zertifizierten Auditoren vergeben werden.

Voraussetzung für die Vergabe eines ISO 27001-Zertifikats auf der Basis von IT-Grundschutz ist eine Überprüfung durch einen vom BSI zertifizierten ISO 27001-Grundschutz-Auditor. Zu den Aufgaben eines ISO 27001-Grundschutz-Auditors gehört eine Sichtung der von der Institution erstellten Referenzdokumente, die Durchführung einer Vor-Ort-Prüfung und die Erstellung eines Audit-Reports. Für die Vergabe eines ISO 27001-Zertifikats muss dieser Audit-Report zur Überprüfung dem BSI vorgelegt werden. Auf der Grundlage des Auditreports und der Zertifizierung nach ISO 27001 auf der Basis von IT-Grundschutz - Zertifizierungsschema; Version 1.2 (PDF, 562KB, Datei ist barrierefrei⁄barrierearm) wird durch das BSI eine Zertifizierungsentscheidung gefällt.

Vorteile und Stellenwert:

Das BSI stellt hohe Anforderungen an die zertifizierten Auditoren, um eine gleichbleibend hohe Qualität der Audits zu gewährleisten. Weitere Informationen zur Qualifizierung als ISO 27001-Grundschutz-Auditor durch das BSI sind zu finden unter: Zertifizierung nach ISO 27001 auf der Basis von IT-Grundschutz - Zertifizierungsschema; Version 1.2 (PDF, 562KB, Datei ist barrierefrei⁄barrierearm)

Nähere Informationen zur Vorgehensweise bei der ISO 27001-Zertifizierung auf der Basis von IT-Grundschutz finden Sie neben der Auflistung anderer Zertifizierungen im Faltblatt "Zertifizierte IT-Sicherheit (PDF, 1MB, Datei ist barrierefrei⁄barrierearm)".

Durch eine Zertifizierung wird nachgewiesen, dass in einem IT-Verbund die Standardsicherheitsmaßnahmen nach IT-Grundschutz umgesetzt wurden. Damit können auf verschiedenen Gebieten Vorteile erlangt werden:

  • IT-Dienstleister möchten mit Hilfe dieses Zertifikats einen vertrauenswürdigen Nachweis erbringen, dass sie die Maßnahmen nach der IT-Grundschutz-Vorgehensweise realisiert haben.
  • Kooperierende Unternehmen möchten sich darüber informieren, welchen Grad von IT-Sicherheit ihre Geschäftspartner zusichern können. Von Institutionen, die an ein Netz neu angeschlossen werden, wird der Nachweis darüber verlangt, dass sie eine ausreichende IT-Sicherheit besitzen, damit durch den Anschluss ans Netz keine untragbaren Risiken entstehen. Unternehmen und Behörden möchten Kunden bzw. Bürgern gegenüber ihre Bemühungen um eine ausreichende IT-Sicherheit deutlich machen.
  • Da IT-Grundschutz mit seinen Empfehlungen von Standard-Sicherheitsmaßnahmen inzwischen einen Quasi-Standard für IT-Sicherheit darstellt, bietet es sich an, dies als allgemein anerkanntes Kriterienwerk für IT-Sicherheit zu verwenden.

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK