Allgemein anerkannte Zertifikate setzen Maßstäbe und schaffen Vertrauen. Auch im Bereich der Informationssicherheit sind verlässliche Standards wünschenswert, die den Anwendern Orientierung zur Sicherheit von Produkten, Systemen und Verfahren bieten. Daher gibt es bereits seit vielen Jahren international anerkannte Kriterienwerke, auf deren Grundlage die Sicherheitseigenschaften von Produkten und Systemen durch unabhängige Zertifizierungsstellen bestätigt werden können.

Das ISO 27001-Zertifikat auf Basis von IT-Grundschutz belegt in besonderer Weise das Bemühen um Informationssicherheit, da Grundlage für die Vergabe nicht nur die Erfüllung der allgemeinen Anforderungen der Norm ISO 27001 an das Sicherheitsmanagement ist, sondern auch die nachgewiesene Umsetzung der wesentlich konkreteren Anforderungen des IT-Grundschutzes.

Die Zertifizierung des Managements für Informationssicherheit kann für unterschiedliche Zielgruppen interessant sein, zum Beispiel für

• Anbieter im E-Commerce oder E-Government, die verdeutlichen wollen, dass sie sorgfältig und sicherheitsbewusst mit den Daten der Kunden und Bürger umgehen,
• IT-Dienstleister, die mit einem allgemein anerkannten Maßstab die Sicherheit ihrer Dienstleistungen belegen wollen,
• Unternehmen und Behörden, die mit anderen Einrichtungen kooperieren wollen und Informationen über deren Sicherheitsniveau wünschen.

Ein Zertifizierungsverfahren wirkt aber auch nach innen: Es trägt dazu bei, das Bewusstsein der Mitarbeiter für die Notwendigkeit von Informationssicherheit zu stärken, und erleichtert dadurch die Umsetzung erforderlicher Sicherheitsmaßnahmen.

Der Zertifizierungsprozess

Voraussetzung für die Vergabe eines ISO 27001-Zertifikats auf Basis von IT-Grundschutz ist der Nachweis, dass ein den Anforderungen der Norm entsprechendes Informationssicherheitsmanagement eingerichtet ist und die IT-Grundschutz-Anforderungen wirksam erfüllt sind. Gegenstand der Zertifizierung muss dabei nicht die gesamte Institution sein. Der betrachtete Informationsverbund kann sich auch auf einzelne Geschäftsprozesse, Fachaufgaben oder Organisationseinheiten beschränken. Diese müssen jedoch sinnvoll abgegrenzt sein und eine gewisse Mindestgröße haben.

Die folgende Abbildung veranschaulicht den Zertifizierungsprozess:

Für den Nachweis, dass die Anforderungen erfüllt sind, ist ein Audit durch einen unabhängigen, vom BSI anerkannten Auditor erforderlich. Jedes Audit setzt sich grundsätzlich aus zwei getrennten, aufeinander aufbauenden Phasen zusammen:

• Phase 1 umfasst eine Dokumentenprüfung der so genannten Referenzdokumente des Antragstellers. Dazu zählen neben den geltenden Sicherheitsrichtlinien (Leitlinie zur Informationssicherheit, Richtlinien zur Risikoanalyse, Richtlinie zur internen ISMS-Auditierung) und dem Risikobehandlungsplan insbesondere auch die Ergebnisdokumente der verschiedenen Phasen der Sicherheitskonzeption (Strukturanalyse, Schutzbedarfsfeststellung, Modellierung, IT-Grundschutz-Check, Risikoanalyse, Realisierungsplanung).
• In Phase 2 folgt die Umsetzungsprüfung durch den Auditor, bei der die Vollständigkeit, Korrektheit, und Wirksamkeit der in den Referenzdokumenten beschriebenen Maßnahmen sowie deren Konformität zu den Anforderungen von ISO 27001 und IT-Grundschutz im Fokus stehen.

Ein Zertifikat wird nur erteilt, wenn der Auditbericht ein positives Gesamtvotum aufweist und durch die Zertifizierungsstelle akzeptiert wurde. Im Rahmen einer Prüfbegleitung wird der Auditbericht gegen die Vorgaben des vom BSI veröffentlichen Zertifizierungsschemas geprüft.

Ein erteiltes Zertifikat ist drei Jahre lang gültig und muss in diesem Zeitraum durch ein jährliches Überwachungsaudit bestätigt werden.

Das der ISO 27001-Zertifizierung auf Basis von IT-Grundschutz zugrunde liegende Zertifizierungsschema, Hinweise zu den erforderlichen Referenzdokumenten und alle weiteren wichtigen Informationen zum Thema finden Sie in einem eigenen Unterthema gebündelt auf der Website des BSI.

Abschließende Worte

Mit dem nachfolgenden Test sind Sie am Ende des Webkurses IT-Grundschutz angelangt. Wir hoffen, Sie haben einen guten Einblick in die IT-Grundschutz-Methodik und die Anwendung des IT-Grundschutz-Kompendiums bekommen. Weitere Informationen und Hilfestellungen rund um den IT-Grundschutz finden Sie auf den umliegenden Seiten. Fragen und Anregungen zum Thema können Sie gerne telefonisch oder per E-Mail an uns richten.