Auditierung nach ISO 27001 auf Basis IT-Grundschutz
lizenzierte Auditoren des BSI
IT-Grundschutz konform zu ISO 27001
Die datenschutz cert GmbH auditiert für Unternehmen und öffentliche Stellen Informationssicherheits-Managementsysteme (ISMS). Unsere IT-Experten sind beim BSI als IT-Grundschutz- bzw. ISO 27001-Auditoren lizenziert.
Standards für die Auditierung von IT-Sicherheitskonzepten mit anschließender Zertifizierung haben sich seit Jahren etabliert - einer davon ist das in Deutschland etablierte IT-Grundschutzkonzept des Bundesamtes für Sicherheit in der Informationstechnik (BSI), welches konform zur ISO 27001-Norm ist. In diesem Zusammenhang wurden die BSI-Standards
- "BSI 100-1: Managementsysteme für Informationssicherheit (ISMS),
- "BSI 100-2: IT-Grundschutz-Vorgehensweise" und
- "BSI 100-3: Risikoanalyse"
- "BSI 100-4: Notfall-Management"
auf der Basis von IT-Grundschutz herausgegeben, die zusammen mit den Gefährdungs- und Maßnahmen-Katalogen zu Standard-Sicherheitsmaßnahmen umfangreiche Informationen zur IT-Sicherheit enthalten.
Vorgehensweise nach IT-Grundschutz
IT-Grundschutz zeichnet sich durch folgende Vorgehensweise aus:
IT-Strukturanalyse
Für die Erstellung eines IT-Sicherheitskonzepts und insbesondere für die Anwendung des IT-Grundschutzhandbuchs ist es zunächst erforderlich, die Struktur der vorliegenden Informationstechnik zu analysieren und zu dokumentieren. Hierzu gehören die Netzinfrastruktur ebenso wie die räumliche Infrastruktur, sämtliche betrachteten IT-Systeme, Anwendungen sowie organisatorische und personelle Rahmenbedingungen. Insgesamt bietet sich ein vereinfachter Netzplan als Ausgangsbasis für die IT-Strukturanalyse an.
Schutzbedarfsfeststellung
Im Rahmen der Schutzbedarfsfeststellung wird ausgehend von den Anwendungen für die Netzinfrastruktur, die IT-Systeme sowie die räumliche Infrastruktur der Schutzbedarf ermittelt (normal, hoch oder sehr hoch). Der Schutzbedarf wird hierbei für die Sicherheitsziele Vertraulichkeit, Integrität oder Verfügbarkeit getrennt identifiziert.
Modellierung
Ausgehend von der IT-Strukturanalyse wird der dort ermittelte IT-Verbund modelliert, d.h. die Bausteine des IT-Grundschutzhandbuchs werden in einem Modellierungsschritt auf die Komponenten des vorliegenden IT-Verbunds abgebildet.
Basis-Sicherheitscheck
Anschließend wird mit Hilfe des IT-Grundschutzhandbuchs ein Basis-Sicherheitscheck über das vorhandene IT-Sicherheitsniveau durchgeführt. Durch einen Soll-/Ist-Abgleich werden nicht nur Schachstellen identifieziert, sondern gleichzeitig auch Verbesserungsmöglichkeiten für die Sicherheit der betrachteten Informationstechnik aufgezeigt.
Ergänzende Risikoanalyse
Da durch den Basis-Sicherheitscheck nur Grundschutz-Maßnahmen für normalen Schutzbedarf abgebildet werden, ist für höheren und sehr hohen Schutzbedarf eine ergänzende Risikoanalyse erforderlich.
Auditierung
Auf der Grundlage einer dokumentierten IT-Strukturanalyse, der Schutzbedarfsfeststellung, der Modellierung, eines Basis-Sicherheitschecks und einer ergänzenden Risikoanalyse auditieren wir Ihre IT-Sicherheit gemäß ISO 27001 auf der Basis von IT-Grundschutz. Möglich ist dies in Form eines Auditortestats in der Einstiegs- und Aufbaustufe oder aber in Form eines vollständigen Audits; hierbei wird der von uns erstellte Auditbericht schließlich vom Bundesamt für Sicherheit in der Informationstechnik (BSI) zertifiziert.
Durchgeführt werden die Audits von unseren IT-Grundschutz- und ISO 27001-Auditoren, die vom Bundesamt für Sicherheit in der Informationstechnik (BSI) lizenziert sind.
IS-Revision
Die IS-Revision ist ein zentraler Aspekt eines ISMS. Hierzu hat das BSI einen "Leitfaden für die IS-Revision auf Basis von IT-Grundschutz" erstellt und ein Verfahren entwickelt, um den Status der Informationssicherheit in einer Institution festzustellen und Schwachstellen identifizieren zu können.
Auch bei einer IS-Revision auf Basis von IT-Grundschutz unterstützen Sie unsere ISO 27001-/IT-Grundschutz-Auditoren.
|
Kontakt
