:: Swiss Infosec AG - kompetent in Fragen der IT- und Informationssicherheit

Unternehmen wollen und müssen vermehrt die Einführung aller erforderlichen IT-Sicherheitsmassnahmen qualifiziert nachweisen.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI), Deutschland, hat deshalb ein Zertifizierungsschema für den IT-Grundschutz, basierend auf dem BSI IT-Grundschutzhandbuch erarbeitet, einem seit Jahren gültigen und vielbeachteten de facto-Standard für IT-Sicherheit.

Swiss Infosec AG Zertifizierungsdienst
Per 31.1.2002 hat das BSI weltweit die ersten 22 IT-Grundschutz-Auditoren lizenziert, die damit die Erlaubnis erhalten, IT-Grundschutz-Audits zur Erlangung eines Zertifikats durchzuführen. Darunter war auch ein Mitarbeiter der Swiss Infosec AG. Mittlerweile sind drei Mitarbeiter durch das BSI lizenziert worden. Die Swiss Infosec AG bietet ihren Kunden sowohl die Begleitung als auch die Auditierung als Grundlage für das BSI IT-Grundschutz-Zertifikat an.

IT-Dienstleister und Anwender möchten einen vertrauenswürdigen Nachweis führen, dass sie die Massnahmen nach dem IT-Grundschutzhandbuch realisiert haben.
Qualifizierter Nachweis zum Grad der IT-Sicherheit von Partnerunternehmen und Lieferanten.
Vor dem Aufschalten einer Netzverbindung soll der Nachweis einer ausreichenden IT-Sicherheit erbracht werden, damit durch den Anschluss ans Netz keine untragbaren Risiken entstehen.
Unternehmen möchten dem Kunden bzw. der Öffentlichkeit gegenüber ihre Bemühungen um eine ausreichende IT-Sicherheit deutlich machen.

BSI IT-Grundschutz-Zertifikat
Die realisierten IT-Sicherheitsmassnahmen eines Unternehmen werden durch einen unabhängigen vom BSI lizenzierten Auditor geprüft. Bei positivem Ergebnis des Audits wird durch das BSI ein drei Jahre gültiges IT-Grundschutz-Zertifikat erteilt. Dieses Zertifikat bestätigt und erbringt den Nachweis, dass ein Sicherheitsmanagementsystem etabliert wurde und dass die erforderlichen baulichen, personellen, organisatorischen und technischen IT-Grundschutzmassnahmen realisiert sind. Neben diesem Sicherheitsnachweis können damit auch die für die IT-Sicherheit getätigten Investitionen für Marketingzwecke genutzt werden, um das Vertrauen bspw. in E-Commerce-Angebote zu steigern.
Für die ISO 27001-Zertifizierung auf der Basis von IT-Grundschutz sind – bezogen auf die dreijährige Laufzeit eines Zertifikates – verschiedene Typen von Audits zu unterscheiden:

Erst-Zertifizierungsaudit:
Es wird erstmalig der betreffende Informationsverbund auditiert. Dabei kann ein sogenanntes Voraudit durchgeführt werden.

Überwachungsaudit:
In die dreijährige Laufzeit eines Zertifikates integriert sind jährliche Überwachungsaudits. Das Audit dient dem Nachweis, dass der zertifizierte Informationsverbund weiterhin den Anforderungen bzgl. ISO 27001 und IT-Grundschutz genügt.

Re-Zertifizierungsaudit:
Nach Ablauf der Zertifikatslaufzeit von drei Jahren wird eine Re-Zertifizierung erforderlich, sofern weiter eine Zertifizierung angestrebt wird. Diese läuft zum grossen Teil identisch zum Erst-Zertifizierungsaudit ab.

Publikation der BSI IT-Grundschutz-Zertifikate
Auf der Grundlage des Auditreports entscheidet die Zertifizierungsstelle des BSI über die Vergabe des ISO 27001-Zertifikats auf der Basis von IT-Grundschutz. Diese Zertifikate werden auf den Internetseiten des BSI veröffentlicht, sofern der Antragsteller dies nicht explizit ablehnt. Die zertifizierten Unternehmen und Behörden erwerben mit dem Zertifikat auch das Recht, dieses auf ihren Internet-Servern, in Publikationen, Formularen etc. namentlich und in Form eines Stempels aufzuführen.