Sie befinden sich hier: Themen IT-Grundschutz-Zertifikat. Allgemeine Informationen. Dokumententitel: IT-GSHB 2005 - Informationen IT-Grundschutz-Zertifikat
direkt zu der Navigation Servicebereich. direkt zu der Hauptnavigation. direkt zur Themennavigation. direkt zum Seiteninhalt.

Allgemeine Informationen

Die IT-Grundschutz-Vorgehensweise stellt zusammen mit den IT-Grundschutz-Katalogen und dessen Empfehlungen von Standard-Sicherheitsmaßnahmen inzwischen einen De-Facto-Standard für IT-Sicherheit dar.
Die Vorgehensweise bei der Umsetzung dieser Empfehlungen ist im BSI-Standard 100-2: IT-Grundschutz-Vorgehensweise (PDF) zu finden. Weitere wichtige Informationen enthalten die BSI-Standards 100-1: Managementsysteme für Informationssicherhei (PDF) und 100-3: Risikoanalyse auf der Basis von IT-Grundschutz .

Von vielen Institutionen, die die IT-Grundschutz-Vorgehensweise umsetzen, wurde der Wunsch geäußert, dies durch ein Zertifikat bestätigt zu bekommen. Hierfür hatte daher das BSI gemeinsam mit Interessenten aus der Wirtschaft ein Zertifizierungsschema für IT-Grundschutz erarbeitet.

Damit das IT-Grundschutz-Zertifikat des BSI künftig auch die internationale Zertifizierungsnorm für Informationssicherheitsmanagementsysteme (ISO 27001) mit abdeckt, wurden nicht nur die IT-Grundschutz-Vorgehensweise und die IT-Grundschutz-Kataloge an diese angepasst, sondern auch das Zertifizierungsschema.

Seit Anfang des Jahres 2006 können daher auch ISO 27001-Zertifikate auf der Basis von IT-Grundschutz beim BSI beantragt werden. Die Integration von ISO 27001, der aus der BS 7799-2 hervorgegangen ist, macht diese ISO 27001-Zertifizierung auf der Basis von IT-Grundschutz besonders für eine international tätige Institutionen interessant.

Um Behörden und Unternehmen einen Migrationspfad anbieten und wichtige Meilensteine bei der schrittweisen Umsetzung der Standard-Sicherheitsmaßnahmen transparent machen zu können, definiert das BSI weiterhin zwei Vorstufen des eigentlichen IT-Grundschutz-Zertifikats:

Damit bleibt das Qualifizierungsverfahren über "Einstiegstufe" und "Aufbaustufe" weiterhin bestehen, allerdings dürfen die Testate nur von beim BSI zertifizierten Auditoren vergeben werden.

Voraussetzung für die Vergabe eines ISO 27001-Zertifikats auf der Basis von IT-Grundschutz oder eines Auditor-Testats ist eine Überprüfung durch einen vom BSI zertifizierten ISO 27001-Grundschutz-Auditor. Zu den Aufgaben eines ISO 27001-Grundschutz-Auditors gehört eine Sichtung der von der Institution erstellten Referenzdokumente, die Durchführung einer Vor-Ort-Prüfung und die Erstellung eines Audit-Reports. Für die Vergabe eines ISO 27001-Zertifikats muss dieser Audit_Reportzur Überprüfung dem BSI vorgelegt werden. Auf der Grundlage des Auditreports und des ISO 27001-Grundschutz-Zertifizierungsschemas wird entschieden, ob ein Zertifikat ausgestellt werden kann oder nicht.

Das BSI stellt hohe Anforderungen an die zertifizierten Auditoren, um eine gleichbleibend hohe Qualität der Audits zu gewährleisten. Weitere Informationen zu den Voraussetzungen, um von BSI als ISO 27001-Grundschutz-Auditor zertifiziert zu werden, sind im Zertifizierungsschema zu finden.