Damit Institutionen nachweisen können, dass sie in die Informationssicherheit eingestiegen sind und alle Geschäftsprozesse bzw. Fachaufgaben, Daten und Komponenten des betrachteten Informationsverbundes unter technischen, infrastrukturellen, organisatorischen und personellen Aspekten mit einem Mindestmaß an Informationssicherheit nach der Basis-Absicherung umgesetzt haben, sollte sie zunächst einen zertifizierten IT-Grundschutz-Auditor beauftragen.

Der IT-Grundschutz-Auditor prüft die Dokumente und auditiert in einer Vor‑Ort‑Prüfung die Erfüllung der Basis-Anforderungen nach dem Prüfschema für die Erteilung eines Testats nach der Basis-Absicherung gemäß IT-Grundschutz (Prüfschema). Auf der Grundlage der im Prüfbericht zusammengefassten Ergebnisse gibt der IT-Grundschutz-Auditor ein Votum ab. Kommt der IT-Grundschutz-Auditor zu dem Ergebnis, dass die Institution alle Basis-Anforderungen der Basis-Absicherung erfolgreich erfüllt hat, kann er ein Testat nach der Basis-Absicherung erteilen. Hierzu stellt das BSI ein Testat-Logo mit eindeutiger Identifizierungsnummer zur Verfügung. Die eindeutigen Identifizierungsnummern werden vom BSI vergeben und ermöglichen es, die Echtheit bei Bedarf auf Nachfrage beim BSI zu überprüfen. Das Testat-Logo darf vom IT-Grundschutz-Auditor gemäß der abgeschlossenen Nutzungsvereinbarung für die Ausstellung der Testat-Urkunde verwendet werden, außerdem kann die Institution das Testat-Logo als Bilddatei vom IT-Grundschutz-Auditor erhalten, um es beispielsweise auf ihrer Webseite zu präsentieren. Zum Abschließen der Nutzungsvereinbarung wendet sich der IT-Grundschutz-Auditor an grundschutz@bsi.bund.de.

Das Testat-Logo enthält eine eindeutige Identifizierungsnummer sowie dem Namen der geprüften Institution. Die Identifizierungsnummer setzt sich dabei aus dem Kürzel „IGT“ für „IT-Grundschutz Testierung“, eine fortlaufenden Nr. und der Angabe des Jahres, bis zu dem das Testat gültig ist.

Ein Testat ist zwei Jahre gültig und kann nicht verlängert werden. Es kann aber jederzeit ein neues Testat beantragt werden. Das BSI überprüft die Prüfberichte von Testaten grundsätzlich nicht, kann diese aber bei Rückfragen anfordern und einsehen.

Hinweis

Die Ausstellung der Auditoren-Testate erfolgt nicht durch die Zertifizierungsstelle und liegt allein in der Verantwortung des zertifizierten Auditors.