Auditierung nach ISO 27001 auf der Basis von IT-Grundschutz

Lizenzierte Auditoren des BSI

Standards für die Auditierung von IT-Sicherheitskonzepten mit anschließender Zertifizierung haben sich seit Jahren etabliert - einer davon ist das in Deutschland etablierte IT-Grundschutzkonzept des Bundesamtes für Sicherheit in der Informationstechnik (BSI). 

ISO 27001 auf der Basis von IT-Grundschutz

Der IT-Grundschutz-Ansatz ist konform zur ISO 27001-Norm, womit das IT-Sicherheitskonzept in ein ganzheitliches Informationssicherheits-Managementsystem (ISMS) eingebettet ist.

In diesem Zusammenhang wurden die BSI-Standards

  • "BSI 200-1: Managementsysteme für Informationssicherheit (ISMS),
  • "BSI 200-2: IT-Grundschutz-Vorgehensweise" und
  • "BSI 200-3: Risikoanalyse"

auf der Basis von IT-Grundschutz herausgegeben, die zusammen mit dem IT-Grundschutz-Kompendium umfangreiche Informationen zur IT-Sicherheit enthalten.

Typisch für IT-Grundschutz ist die Vorgehensweise, dass das Unternehmen oder die Behörde, die ein ISO 27001-Zertifikat anstrebt, zunächst in einer IT-Strukturanalyse, der Schutzbedarfsfeststellung sowie einer Modellierung der IT-Grundschutz-Bausteine den zu betrachtenden Informationsverbund darstellt. Danach wird in einem IT-Grundschutz-Check die Ist-Situation gegen die Anforderungen des IT-Grundschutz-Kompendiums geprüft und der über einen "Grundschutz" hinausgehende Schutzbedarf analysiert.

Auf Basis von IT-Grundschutz bietet das BSI auch ein Schema für die IS-Revision an, um den Status der Informationssicherheit in einer Institution festzustellen und Schwachstellen identifizieren zu können. Auch hier können wir Sie mit unseren IS-Revisoren unterstützen.

Ihre Vorteile einer IT-Grundschutz-Auditierung

Allein durch das Etablieren eines Informationssicherheits-Managementsystems (ISMS) werden die internen Prozesse und Verfahren besser und effizienter. Da ein etabliertes ISMS kaum Mehraufwand bedeutet, können durch ein funktionierendes ISMS Effizienzgewinne erzielt werden. Steigern lässt sich dies erfahrungsgemäß durch eine unabhängige Begutachtung und Zertifizierung.

Durch den ganzheitlichen Ansatz und die Prozessorientierung erhalten Sie einen guten Überblick über die Informationssicherheit in Ihrem Verantwortungsbereich. Sie können das "Maß" Ihrer Informationssicherheit messen und steuern - was auch Ihr Haftungsrisiko verringern kann.

Mit einem ISO 27001-Zertifikat auf der Basis von IT-Grundschutz können Sie sich vom Wettbewerb absetzen oder in einen reglementierten Markt eintreten, der die Vorlage eines solchen Zertifikats verlangt.

Da sich Märkte und Anforderungen bewegen und immer häufiger den Nachweis zu bestimmten Standards fordern, sind Sie mit einem standardisierten Zertifikat bestens gerüstet, auch in Zukunft neue Anforderungen schnell zu erfüllen und die Einhaltung nachzuweisen.

Wie können wir Sie unterstützen?

Die datenschutz cert GmbH auditiert für Unternehmen und öffentliche Stellen Informationssicherheits-Managementsysteme (ISMS) gemäß ISO 27001 auf der Basis von IT-Grundschutz. Unsere IT-Experten sind beim BSI als ISO 27001-Auditteamleiter lizenziert.

Wir auditieren Sie auf der Grundlage Ihrer Dokumentation und vor Ort. Möglich ist dies in Form eines Auditortestats in der Einstiegs- und Aufbaustufe oder aber in Form eines vollständigen Audits; hierbei wird der von uns erstellte Auditbericht anschließend vom Bundesamt für Sicherheit in der Informationstechnik (BSI) zertifiziert.

Aktuell ist die datenschutz cert GmbH als GS-Zertlab für das BSI tätig. Um der steigenden Anzahl von Verfahren besser gerecht werden zu können, hat das BSI einen Teil der Prüfbegleitung ausgelagert - in zwei sogenannte "GS-Zertlabs", von denen die datenschutz cert GmbH eines wahrnimmt. Zentraler Ansprechpartner für Zertifizierungsverfahren bleibt stets das BSI.

Unsere Vorgehensweise

Unser Anspruch ist, Sie nicht nur umfassend zu allen Fragen der ISO 27001 zu informieren, sondern Sie auch partnerschaftlich durch die Auditierung und Zertifizierung zu begleiten.

Unser Ziel ist es, Sie Ihrem Ziel näherzubringen und Ihnen dabei den Mehrwert einer ISO 27001-Konformität näherzubringen. Der Ablauf einer typischen Auditierung gestaltet sich wie folgt:

  • Zu Beginn führen wir typischerweise ein Kick-Off-Meeting durch, um Sie und den IT-Verbund kennenzulernen. Es werden der Zeitplan und das weitere Audit mit Ihnen abgestimmt.
  • Die Auditierung nach IT-Grundschutz besteht im Wesentlichen aus der Sichtung der Referenzdokumente und dem Site Visit vor Ort. Dazu übergeben Sie uns zunächst die Referenzdokumente, die gemäß der BSI-Grundschutz-Methodik vorgesehen sind.
  • Wir prüfen Ihre Referenzdokumente und dokumentieren die Prüfung.
  • Nach der Dokumentationsprüfung erfolgen die Auditvorbereitung sowie der Site Visit vor Ort.
  • Das gesamte Audit wird in einem Auditreport dokumentiert, und dieser dem BSI zur Abnahme vorgelegt.
  • Mit der Abnahme des finalen Auditreports erfolgt die Erteilung Ihres ISO 27001-Zertifikats auf der Basis von IT-Grundschutz durch das BSI.

Ansprechpartner

Dipl.-Math.

Dr. Sönke Maseberg

Geschäftsführer

Telefon: +49 (0) 421 69 66 32-552

smaseberg@remove-this.datenschutz-cert.de