ISO 27001 Zertifizierung auf Basis von IT-Grundschutz

Mit dem IT-Grundschutz stellt das Bundesministerium für Informationssicherheit (BSI) eine Methodik für ein effektives Management von Informationssicherheit zur Verfügung. Der IT-Grundschutz kann in drei Vorgehensweisen angewendet werden. Diese Vorgehensweisen werden in „Standard-Absicherung“, „Kern-Absicherung“ und „Basis-Absicherung“ unterschieden.

  1. Die „Basis-Absicherung“ bietet einen Einstieg in die Informationssicherheit und ist nicht zertifizierungsfähig. Die erfolgreiche Umsetzung der Maßnahmen nach der BSI-Basis-Absicherung kann jedoch mit einem Testat nachgewiesen werden.
  2. Die „Kern-Absicherung“ richtet sich an Institutionen, die sich am Anfang des Aufbaus eines Informationssicherheitssystems befinden und zunächst die Ressourcen auf die Absicherungen der wesentlichsten Assets konzentrieren wollen, bevor sie in einem zweiten Schritt das Konzept in der Breite anwenden.
  3. Die „Standard-Absicherung“ gleicht dem IT-Grundschutzvorgehen aus dem alten BSI-Standard 100-2. Hiermit ist eine Institution in der Lage, seine Werte umfänglich abzusichern.

Ob der direkte Einstieg in IT-Grundschutz mit der Standard-Absicherung oder aber über Basis- oder Kernabsicherung gewählt werden sollte, muss jedes Unternehmen individuell festlegen. Eine Zertifizierung nach ISO 27001 auf der Basis von IT-Grundschutz ist sowohl für „Standard-Absicherung“ wie auch für die „Kern-Absicherung“ möglich. Für eine "Basis-Absicherung" ist ein Testat möglich.

Die UIMCert ist seit rund zwei Jahrzehnten in den Bereichen IT-Grundschutz sowie Zertifizierung gem. IT-Grundschutz aktiv tätig und beschäftigt eigene zertifizierte Auditteamleiter auf der Basis von IT-Grundschutz. Wir begleiten Sie daher gerne durch den Zertifizierungsprozess.

Wie läuft eine Zertifizierung auf der Basis von IT-Grundschutz ab?

Üblicherweise erfolgt der Auditierungs-/Zertifizierungsprozess in mehreren Schritten:

Vorbereitenden Tätigkeiten

Das Zertifizierungsverfahren wird durch die Zertifizierungsstelle des BSI mit der Annahme des Zertifizierungsantrags begonnen. Nach erfolgter Vergabe der Zertifizierungsnummer kann das Audit beginnen.

Im Vorfeld des Erst-Zertifizierungsverfahrens hat der Auditee die Möglichkeit, ein Voraudit durchführen zu lassen. Innerhalb des Voraudits werden einzelne Punkte aus den beiden Auditphasen stichprobenartig auf Normkonformität geprüft. Durch die ersten Gespräche und die Prüfungshandlungen kann der Auditteamleiter in einem ersten Eindruck darlegen, ob das folgende Zertifizierungsaudit grundsätzlich erfolgsversprechend ist ober ob noch wesentliche Mängel vorliegen.

Zertifizierungsauditprozess

Das eigentliche Zertifizierungsaudit läuft in folgenden Schritten ab:

1.    Stufe-1-Audit

1.1.    Zur-Verfügung-Stellung der angeforderten Dokumentation (Auditee)
1.2.    Dokumentationsprüfung (UIMCert)
1.3.    Grundlegende Feststellung zur Zertifizierungsfähigkeit in der Regel vor Ort beim Auditee (UIMCert)
1.4.    Ermittlung der Bereitschaft des Auditees für das Stufe-2-Audit (UIMCert)

2.    Stufe-2-Audit:

2.1.    Umsetzungsprüfung vor Ort
2.2.    Auditierung der Wirksamkeit und Ergebnisse der Dokumentenprüfung vor Ort
2.3.    Erstellung des Auditberichts
2.4.    Empfehlung über Zertifikatsvergabe durch den Auditleiter

Entscheidung über Zertifikatsvergabe und -aufrechterhaltung durch die Zertifizierungsstelle des BSI

Die oben dargestellten Schritte stellen den Auditierungs-/Zertifizierungsablauf dar. Dieser besteht aus drei Teilen. In Stufe 1 des Audits findet eine grundsätzliche Betrachtung des Managementsystems auf Basis der Dokumentation als Vorbereitung auf die Stufe 2 des Audits dar. Die dem Auditteam zur Prüfung vorgelegten Referenzdokumente werden detailliert überprüft und bewertet. Zusätzlich kann zur Bewertung der grundsätzlichen Zertifizierungsfähigkeit des Informationsverbundes eine Vor-Ort-Begehung erfolgen. Das Auditschema sieht vor, dass nach Phase 1 ein Abbruch des Audits möglich ist, sollte die Dokumentation und/oder andere individuelle Bedingungen dies nahelegen. Auditfeststellungen aus der Stufe 1 werden dokumentiert und Ihnen mitgeteilt, einschließlich Festgestellte Abweichungen und Empfehlungen in den Referenzdokumenten.

Die Stufe 2 beinhaltet das Audit in Form eines Vor-Ort-Audits. Hierbei wird die Umsetzung einschließlich der Wirksamkeit und Effektivität des Informationsverbundes des Kunden stichprobenartig unter Berücksichtigung der verschiedenen zum Geltungsbereich gehörigen Standorte bewertet. Ob alle Standorte auditiert werden müssen, oder eine Stichprobelprüfung möglich ist, muss im Vorfeld überprüft werden. Der Auditee erhält die Auditergebnisse sowie das Voting des Auditleiters über eine mögliche Zertifikatsvergabe in Berichtsform.

Auf Basis des abschließenden Prüfberichts wird dann durch die Zertifizierungsstellen (BSI) die Entscheidung über die (Initialaudit) bzw. Aufrechterhaltung (Überwachungsaudits) oder Verlängerung (Rezertifizierung) des Zertifikats getroffen. Ein Zertifikat ist drei Jahre gültig.

Nach drei Jahren verliert das Zertifikat seine Gültigkeit. Eine Verlängerung des Zertifikats ist durch eine Rezertifizierung möglich. Das Rezertifizierungsverfahren muss vor Ablauf der Gültigkeit des Zertifikats abgeschlossen sein. Entsprechen frühzeitig sollte die Rezertifizierung begonnen werden. Im Regelfall wird der Auditee mindestens drei Monate vor Ablauf des Zertifikats auf die Notwendigkeit zur Einleitung des Rezertifizierungsverfahrens hingewiesen.

Zur Bewertung der Normkonformität über den Zertifizierungszeitraum finden dabei vorhergehende Audits und Auditberichte Berücksichtigung. Ein Rezertifizierungsaudit beinhaltet immer mindestens ein Stufe-2-Audit. Die Anzahl der zu prüfenden Standorte richtet sich nach den Erkenntnissen zur Standortprüfung bei der ursprünglichen Zertifizierung und aktuellen Gegebenheiten.

Zur Beseitigung erkannter Nichtkonformitäten werden der Organisation entsprechende Fristen gesetzt, um diese zu beheben. Wie bei der Erstzertifizierung und den Überwachungsaudits wird auch bei der Rezertifizierung ein Auditbericht erstellt, der die Grundlage für die Entscheidung über die Erneuerung des Zertifikats durch die Zertifizierungsstellenleitung bildet.

Sie finden sich im Normen-Zoo nicht zurecht?

Oder Sie sind sich unsicher, welche Norm die Richtige für Sie und Ihr Vorhaben ist?
Dann empfehlen wir Ihnen unseren Normen-Strukturierungs-Workshop!