Bundesamt für Sicherheit in der Informationstechnik

Zertifizierung von Managementsystemen

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat nach dem BSI-Gesetz [BSIG] die Aufgabe, Zertifizierungen von informationstechnischer Systemen durchzuführen.

Um diese Aufgaben zu erfüllen, betreibt das BSI Zertifizierungsprogramme, in denen jeweils die Regeln (Geltungsbereiche, bedarfsgerechte Prüfkriterien, Anforderungen und Nachweise), das Verfahren sowie das Management zur Durchführung der Zertifizierung festgelegt und beschrieben sind.

Die Zertifizierung eines Managementsystems wird auf Antrag durchgeführt. Voraussetzung für eine Zertifizierung ist eine Prüfung gemäß den im Zertifizierungsprogramm veröffentlichten Kriterien bzw. Technischen Richtlinien.

Das Verfahren zur Durchführung von Zertifizierungen nach ISO 27001 auf Basis von IT-Grundschutz ist in der Verfahrensbeschreibung Zertifizierung nach ISO 27001 auf der Basis von IT-Grundschutz – Zertifizierungsschema beschrieben.

Das Verfahren im Bereich TR ist im Dokument Verfahrensbeschreibung zur Zertifizierung von Produkten [VB-Produkte] beschrieben und wird durch das Anforderungsdokument Anforderungen für Antragsteller zur Zertifizierung von Produkten nach Technischen Richtlinien [TR-Produkte] ergänzt.

Einige TR setzen als Grundlage die ISO/IEC 27001 voraus. Zertifizierungen für diese TR erfolgen normalerweise nicht durch das BSI sondern bei akkreditierten Zertifizierungsstellen für die Zertifizierung von Managementsystemen gemäß ISO/IEC 27001. Das grundsätzliche System hierzu ist in den "Hinweis für Zertifizierungsstellen von sektorspezifischen Managementsystemen basierend auf ISO/IEC 27001 (PDF, 302KB, Datei ist barrierefrei⁄barrierearm)" beschrieben.

Über das Inhaltverzeichnis sind weitere Informationen zu den Geltungsbereichen zu finden.