ISO 27001-Zertifikat auf der Basis von IT-Grundschutz
Mit der Einführung des Standards ISO/IEC 27001 im Herbst 2005 hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) sein seit 2002 bestehendes Qualifizierungs- und Zertifizierungsschema an die Anforderungen des neuen internationalen Standards angepasst.
Seit 01.01.2006 verleiht das BSI ein ISO 27001-Zertifikat auf der Basis von IT-Grundschutz. Es vereint die prozessorientierten Anforderungen von ISO 27001:2005 mit den konkreten, teilweise technisch angelegten Empfehlungen der IT-Grundschutz-Kataloge. Im Vergleich zum ursprünglichen Grundschutz-Vorgehen ist eine ergänzende Risikoanalyse hinzugekommen. Eine Methodik zur Durchführung einer solchen Risikoanalyse ist im BSI-Standard 100-3 beschrieben.
Das Zertifikat wird für eine Dauer von zwei Jahren vergeben. Danach muss eine Re-Zertifizierung erfolgen. Es kann von einer beliebigen Institution beantragt werden, die die Anforderungen des IT-Grundschutzes umgesetzt hat. Es empfiehlt sich daher, die Umsetzung der Anforderungen bereits unter den Maßstäben der Zertifizierung anzugehen.
Unterstützung für ISO27001 Audits auf der Basis von IT-Grundschutz
Hinführung zum ISO27001 Audit (aktuelles GSHB):
- Definition eines zertifizierungsfähigen Unternehmensbereichs oder Geschäftsprozesses (IT-Verbund)
- Umsetzen der Anforderungen des BSI für die Erlangung eines ISO27001-Zertifikats auf Basis von IT-Grundschutz
- Definition und Umsetzung von IT-Sicherheitsmaßnahmen
- Planung, Gestaltung, Umsetzung und Dokumentation des Zertifizierungsprozesses
Auditor Testat
- Dokumentation des IT-Sicherheitsniveaus nach innen und außen
- Umsetzung der geforderten Maßnahmen laut Prüfschema und Art des Testates
- Überprüfung und Testierung der Umsetzung der Maßnahmen gemäß dem gültigen Prüfschema
ISO 27001-Zertifikat auf der Basis von IT-Grundschutz
- Durchführung eines Zertifikat-Audits gem. Prüfschema für ISO 27001-Audits auf Basis von IT-Grundschutz
- Dokumentation des IT-Sicherheitsniveaus nach innen und außen (Marketing-Instrument)
Informationssicherheit
- 1: ISO 27001 auf der Basis von Grundschutz.
- 2: Sicherheitschecks nach BSI.
- 3: Team IT-Grundschutz.
- 4: Schulungen.
- 5: Penetrationstests.