Zertifizieren Sie ihr ISMS nach der ISO 27001 auf Basis von IT-Grundschutz
Übersicht
- Was ist die ISMS nach der ISO 27001 auf Basis von IT-Grundschutz?
- Vorteile einer Zertifizierung nach ISO/IEC 27001
- Ablauf eines Zertifizierungsverfahrens
- Ihr Weg zu einer ISO/IEC 27001 Zertifizierung
- Zertifizierung durch die RSM Certification
- Unverbindlich Kontakt aufnehmen
- FAQ – Ihre Fragen zur ISO/IEC 27001 beantwortet
Was ist die ISMS nach der ISO 27001 auf Basis von IT-Grundschutz?
ISO 27001 auf Basis von IT-Grundschutz beschreibt eine Methode zur Identifizierung und Umsetzung von Informationssicherheitsmaßnahmen zur Erhöhung des Schutzniveaus des Bundesamtes für Sicherheit in der Informationstechnik (BSI). Das IT-Grundschutz-Kompendium enthält die IT-Grundschutz-Bausteine, in denen jeweils Gefährdungen und Sicherheitsanforderungen dargestellt werden. Eine ISO 27001 Zertifizierung auf der Basis von IT-Grundschutz erfolgt auf Basis dieses IT-Grundschutz-Kompendium, welches jährlich im Februar in einer neuen Edition veröffentlicht wird.
Mit einer Zertifizierung nach ISO 27001 auf Basis von IT-Grundschutz können Sie den Stand und die Qualität Ihres eingerichteten ISMS durch uns als unabhängige Konformitätsbewertungsstelle nachweisen. Eine ISO 27001 auf Basis von IT-Grundschutz Zertifizierung ist insbesondere auch dann für Sie geeignet, wenn Sie mit behördlichen Einrichtungen arbeiten, Dienstleister aus diesem Bereich sind oder sogar ein KRITIS-Unternehmen sind.
Vorteile einer Zertifizierung nach ISO 27001 auf Basis von IT-Grundschutz
Ablauf eines Zertifizierungsverfahrens
Der allgemeine Zertifizierungszyklus ist aufgrund der Gültigkeit der Zertifikate auf drei Jahre ausgelegt und besteht aus den folgenden Phasen:
- Erstzertifizierung
- Stage 1-Audit (Dokumentenprüfung/ Angemessenheitsprüfung des ISMS)
- Stage 2-Audit (Wirksamkeitsprüfung des ISMS)
- Erstes Überwachungsaudit (maximal 12 Monate nach Zertifikatserteilung)
- Zweites Überwachungsaudit (ca. 24 Monate nach Zertifikatserteilung)
Im vierten Jahr beginnt der Zertifizierungszyklus mit dem sogenannten Rezertifizierungsaudit von vorne.
Ihr Weg zu einer Zertifizierung Ihrer ISMS nach der ISO 27001 auf Basis von IT-Grundschutz
Anfrage stellen und optional kurzfristig einen Kennenlern-Termin per Videosession vereinbaren. Anschließend erhalten Sie kurzfristig ein Angebot.
Auftragserteilung
Auftragserteilung an RSM Certification GmbH und gemeinsame Abstimmung der weiteren Schritte (u. a. Terminplanung)
Zertifizierungsantrag und Unabhängigkeitserklärung der Auditoren beim BSI einreichen / Vergabe der Zertifizierungs-ID durch das BSI / Übergabe der Referenzdokumente an den Auditor
Im Rahmen des optionalen Voraudits können einzelne Aspekte ausgewählt und in Stichproben geprüft werden. Zudem kann dieses Audit genutzt werden, um festzustellen, ob eine Zertifizierungsreife vorliegt.
Dokumentenprüfung / Vorbereitung des Vor-Ort-Audits / Erstellung Prüfplan für die Umsetzungsprüfung
Umsetzungsprüfung vor Ort / Prüfung von Nachbesserungen / Erstellung Auditbericht
Übergabe des Auditberichtes sowie der Referenzdokumente an die Zertifizierungsstelle des BSI
ggf. Nachforderungen an den Auditbericht / ggf. Nachbesserung von Referenzdokumenten
Erteilung des Zertifikates durch das BSI, ggf. (sofern gewünscht) Listung auf der Homepage des BSI
Zertifizierung durch die RSM Certification GmbH
Sie möchten sich durch uns zertifizieren lassen? Nehmen Sie gern unverbindlich Kontakt zu uns auf.
Unverbindlich Kontakt aufnehmen
FAQ – Die wichtigsten Fragen beantwortet
Ziel der Dokumentenprüfung ist es, die Zertifizierungsfähigkeit, Reife des Managementsystems, Gefährdungen und Risiken, gesetzliche und behördliche Aspekte und die standortspezifischen Bedingungen, festzustellen. Es erfolgt eine reine Angemessenheitsprüfung des Managementsystems. Der RSM Certification GmbH muss im Rahmen der Dokumentenprüfung Zugriff auf Dokumente gewährt werden.
Daher müssen im Vorfeld der Dokumentenprüfung mindestens die folgenden Informationen bereitgestellt werden:
- Richtlinien für Informationssicherheit (A.0)
- Strukturanalyse (A.1)
- Schutzbedarfsfeststellung (A.2)
- Modellierung des Informationsverbundes (A.3)
- Ergebnis des IT-Grundschutz-Checks (A.4)
- Risikoanalyse (A.5)
- Realisierungsplan (Risikobehandlungsplan) (A.6)
Der Auditor führt gemäß Auditierungsschema einen IT-Grundschutz-Check durch. Hierbei wird geprüft, ob die verwendeten Bausteine des gültigen IT-Grundschutz-Kompendiums mit denen in der Modellierung des Informationsverbundes übereinstimmen.
Das IT-Grundschutz-Kompendium ist eine Zusammenstellung verschiedenster Anforderungen in sog. „Bausteine“ im Bereich der Informationssicherheit. Es stellt die strukturierte und umfassende mögliche Anforderungsbasis für Ihr ISMS dar, wenn dieses nach IT-Grundschutz aufgebaut werden soll.
Das Kompendium definiert die sogenannten „Bausteine“ des ISMS und deren Umsetzungsanforderungen, mit denen das ISMS entsprechend dem Tätigkeits- und Prozessumfeld Ihrer Organisation modelliert wird. In diesen Bausteinen werden unterschiedliche Themen behandelt - beispielsweise:
- Baustein ISMS: Sicherheitsmanagement
- Baustein INF: Infrastruktur
- Baustein NET: Netze und Kommunikation
Um ein ISMS zu implementieren, muss unter Berücksichtigung der Vorgaben aus dem Kompendium, sich das Unternehmen aus den Bausteinen (aktuell 10) bedienen und diese gemäß den jeweiligen Forderungen des Bausteins umsetzen.
Bildlich gesprochen ist das IT-Grundschutz-Kompendium eine Art Werkzeugkasten, aus welchem sich Ihre Organisation entsprechend der Tätigkeiten und Krenprozesse das passende Werkzeug auswählen kann.
Welche Bausteine umgesetzt werden, hängt u. a. von der Tätigkeit und den Krenprozessen Ihres Unternehmens ab. Die ausgewählten Bausteine des Kompendiums bilden die Prüfungsgrundlage einer Auditierung nach ISO 27001 auf Basis von IT-Grundschutz.
Das IT-Grundschutzkompendium wird jährlich vom BSI aktualisiert und herausgegeben.
Welcher Standard für Ihr Unternehmen besser geeignet ist eine höchst individuelle Frage und Entscheidung, die Sie selbst treffen müssen. Zur Vereinfachung können Sie sich allerdings an Ihrer Kundendemografie und den Ansprüchen Ihrer Branche orientieren.
Sofern Sie national und international tätig sind, spricht vor dem Hintergrund der Anerkennung und Akzeptanz der ISO/IEC 27001:2022 mehr für diesen Standard als für den IT-Grundschutz. Dies soll den IT-Grundschutz nicht schmälern – allerdings ist dieser über die Grenzen hinaus nicht weit verbreitet.
Sollten Sie rein national tätig sein, kommt es sehr stark auf Ihre Branche und ggf. auch auf den Kundenkreis an. Der IT-Grundschutz besitzt in Deutschland ein hohes Ansehen, wenngleich auch bekannt ist, dass die Erfüllung der Anforderungen nach dem IT-Grundschutz in der Regel umfangreicher ist als die einer ISO/IEC 27001-Zertifizierung. Dies ist allein mit den fest definierten Anforderungen aus dem IT-Grundschutz verbunden, wo die ISO/IEC 27001 mehr Möglichkeiten lässt, den Prozess in Ihre bestehende Prozesswelt zu integrieren.
Vor dem Hintergrund des Kundenkreises kann es wichtig sein zu wissen, welche Anforderungen Ihre Kunden stellen. Einige setzen verstärkt auf eine IT-Grundschutz Zertifizierung als auf eine ISO/IEC 27001-Zertifizierung. Dies bedarf im Zweifel einer Abstimmung durch Sie. Die Präferenz kann sich auch je nach Branche unterscheiden, bspw. besteht im öffentlichen Sektor–eher der Bedarf eines IT-Grundschutz-Zertifikates.
Der erste wesentliche Unterschied liegt in der Verantwortlichkeit. Herr des Verfahrens nach ISO 27001 auf Basis von IT-Grundschutz ist das Bundesamt für Sicherheit in der Informationstechnik, kurz BSI. Für ISO/IEC 27001:2022 Audits durch akkreditierte Konformitätsbewertungsstellen stellt die DAkkS die zentrale Akkreditierungsstelle in Deutschland dar.
Ein weiterer zentraler Unterschied ist die Prüfgrundlage. Ist dies in einem ISO 27001-Audit die ISO/IEC 27001:2022, stellt dies beim ISO 27001 auf Basis von IT-Grundschutz das IT-Grundschutz-Kompendium dar. Der IT-Grundschutz geht zudem inhaltlich tiefer hinsichtlich der Anforderungen in der Informationstechnik. Darüber hinaus definiert das BSI in den jeweiligen Bausteinen des IT-Grundschutzes im Vergleich zur ISO/IEC 27001 konkrete und umfassendere Anforderungen an Ihr ISMS.
Für die formellen Anforderungen sind ebenfalls diverse Unterschiede festzustellen. Das BSI hat für die Anforderungen an die Auditteamleiter eigene Voraussetzungen, die erfüllt werden müssen. Beim BSI zertifizierte Auditteamleiter, welche die ISO 27001-Audits auf Basis von IT-Grundschutz durchführen, sind auf der Homepage des BSI gelistet. Auditoren, die ISO/IEC 27001-Audits über die RSM Certification GmbH durchführen dürfen, dürfen nicht automatisch auch IT-Grundschutz-Audits vornehmen. Dies gilt auch umgekehrt. Das ISO 27001-Audit auf Basis von IT-Grundschutz muss zudem beim BSI offiziell beantragt werden, inklusive einer Unabhängigkeitserklärung des Auditors/der Auditoren. Im Anschluss erhält das beantragende Unternehmen eine ID, welche zukünftig in der Kommunikation mit dem BSI genutzt werden muss. Für die Zertifizierung nach der ISO/IEC 27001:2022 benötigt es keine Beantragung bei der DAkkS. Die Beauftragung der Zertifizierungsstelle ist ausreichend, um den Zertifizierungsprozess zu beginnen.
Beide Verfahren unterscheiden sich somit grundlegend.