Geltungsbereich IS-Revision und IS-Penetrationstests
Viele Geschäftsprozesse werden elektronisch unterstützt und große Mengen von Informationen sind digital gespeichert, werden digital verarbeitet und in IT-Netzen übermittelt. Damit sind Wirtschaft, Verwaltung und auch Bürgerinnen und Bürger von einem einwandfreien Funktionieren der eingesetzten Informationstechnik abhängig. Deshalb ist Informationssicherheit heute ein Muss für Jeden.
Geltungsbereich "IS-Revision"
Informationssicherheitsrevision (IS-Revision) ist ein Bestandteil eines jeden erfolgreichen Informationssicherheitsmanagements.
Die zertifizierten IT-Sicherheitsdienstleister im Geltungsbereich "IS-Revision" bieten folgende Aufgaben bzw. Dienstleistungen an:
- Unterstützung bei der Erstellung von Sicherheitskonzepten nach IT-Grundschutz, Beratung bei der Durchführung von Sicherheitsanalysen und ergänzenden Risikoanalysen auf der Basis von IT-Grundschutz,
- Durchführungsunterstützung bei der Erstellung von Sicherheitskonzepten nach IT-Grundschutz, Beratung bei der Durchführung von Sicherheitsanalysen und ergänzenden Risikoanalysen auf der Basis von IT-Grundschutz,
- Durchführung von internen Audits, die Durchführung von IS-Revisionen gemäß "Leitfaden für die Informationssicherheitsrevision auf der Basis von IT-Grundschutz".
Geltungsbereich "IS-Penetrationstests"
Ein IS-Penetrationstest ist ein erprobtes und geeignetes Vorgehen, um das Angriffspotenzial auf ein IT-Netz, ein einzelnes IT-System oder eine (Web-)Anwendung festzustellen.
Die zertifizierten IT-Sicherheitsdienstleister im Geltungsbereich "IS-Penetrationstests" bieten folgende Aufgaben bzw. Dienstleistungen an:
- Durchführung von Sicherheitsanalysen und Schwachstellenerkennungen sowie
- Durchführung von IS-Penetrationstests.
Die beauftragten IT-Sicherheitsdienstleister müssen sich durch Zuverlässigkeit und Unabhängigkeit sowie Fachkompetenz und Qualität der Dienstleistung auszeichnen. Ziel der Zertifizierung ist somit die Sicherstellung der Vertrauenswürdigkeit und Kompetenz der IT-Sicherheitsdienstleister, um Bedarfsträger bei der Auswahl von IT-Sicherheitsdienstleistern zu unterstützen.