Bundesamt für Sicherheit in der Informationstechnik

Geltungsbereich IS-Revision und IS-Penetrationstests

Viele Geschäftsprozesse werden elektronisch unterstützt und große Mengen von Informationen sind digital gespeichert, werden digital verarbeitet und in IT-Netzen übermittelt. Damit sind Wirtschaft, Verwaltung und auch Bürgerinnen und Bürger von einem einwandfreien Funktionieren der eingesetzten Informationstechnik abhängig. Deshalb ist Informationssicherheit heute ein Muss für Jeden.

Geltungsbereich "IS-Revision"

Informationssicherheitsrevision (IS-Revision) ist ein Bestandteil eines jeden erfolgreichen Informationssicherheitsmanagements.
Die zertifizierten IT-Sicherheitsdienstleister im Geltungsbereich "IS-Revision" bieten folgende Aufgaben bzw. Dienstleistungen an:

  • Unterstützung bei der Erstellung von Sicherheitskonzepten nach IT-Grundschutz, Beratung bei der Durchführung von Sicherheitsanalysen und ergänzenden Risikoanalysen auf der Basis von IT-Grundschutz,
  • Durchführungsunterstützung bei der Erstellung von Sicherheitskonzepten nach IT-Grundschutz, Beratung bei der Durchführung von Sicherheitsanalysen und ergänzenden Risikoanalysen auf der Basis von IT-Grundschutz,
  • Durchführung von internen Audits, die Durchführung von IS-Revisionen gemäß "Leitfaden für die Informationssicherheitsrevision auf der Basis von IT-Grundschutz".

Geltungsbereich "IS-Penetrationstests"

Ein IS-Penetrationstest ist ein erprobtes und geeignetes Vorgehen, um das Angriffspotenzial auf ein IT-Netz, ein einzelnes IT-System oder eine (Web-)Anwendung festzustellen.
Die zertifizierten IT-Sicherheitsdienstleister im Geltungsbereich "IS-Penetrationstests" bieten folgende Aufgaben bzw. Dienstleistungen an:

  • Durchführung von Sicherheitsanalysen und Schwachstellenerkennungen sowie
  • Durchführung von IS-Penetrationstests.

Die beauftragten IT-Sicherheitsdienstleister müssen sich durch Zuverlässigkeit und Unabhängigkeit sowie Fachkompetenz und Qualität der Dienstleistung auszeichnen. Ziel der Zertifizierung ist somit die Sicherstellung der Vertrauenswürdigkeit und Kompetenz der IT-Sicherheitsdienstleister, um Bedarfsträger bei der Auswahl von IT-Sicherheitsdienstleistern zu unterstützen.