:: Swiss Infosec AG - kompetent in Fragen der IT- und Informationssicherheit

Unternehmen wollen und müssen vermehrt die Einführung aller erforderlichen IT-Sicherheitsmassnahmen qualifiziert nachweisen.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI), Deutschland, hat deshalb ein Zertifizierungsschema für den IT-Grundschutz, basierend auf dem BSI IT-Grundschutzhandbuch erarbeitet, einem seit Jahren gültigen und vielbeachteten de facto-Standart für IT-Sicherheit.

Swiss Infosec AG Zertifizierungsdienst
Per 31.1.2002 hat das BSI weltweit die ersten 22 IT-Grundschutz-Auditoren lizenziert, die damit die Erlaubnis erhalten, IT-Grundschutz-Audits zur Erlangung eines Zertifikats durchzuführen. Darunter war auch ein Mitarbeiter der Swiss Infosec AG. Mittlererweile sind drei Mitarbeiter durch das BSI lizenziert worden. Die Swiss Infosec AG bietet ihren Kunden sowohl die Begleitung als auch die Auditierung als Grundlage für das BSI IT-Grundschutz-Zertifikat an.

Die Gründe für eine Zertifizierung sind vielfältig:

IT-Dienstleister und Anwender möchten einen vertrauenswürdigen Nachweis führen, dass sie die Massnahmen nach dem IT-Grundschutzhandbuch realisiert haben.
Qualifizierter Nachweis zum Grad der IT-Sicherheit von Partnerunternehmen und Lieferanten.
Vor dem Aufschalten einer Netzverbindung soll der Nachweis einer ausreichenden IT-Sicherheit erbracht werden, damit durch den Anschluss ans Netz keine untragbaren Risiken entstehen.
Unternehmen möchten dem Kunden bzw. der Öffentlichkeit gegenüber ihre Bemühungen um eine ausreichende IT-Sicherheit deutlich machen.

BSI IT-Grundschutz-Zertifikat
Die realisierten IT-Sicherheitsmassnahmen eines Unternehmen werden durch einen unabhängigen vom BSI lizenzierten Auditor geprüft. Bei positivem Ergebnis des Audits wird durch das BSI ein zwei Jahre gültiges IT-Grundschutz-Zertifikat erteilt. Dieses Zertifikat bestätigt, und erbringt den Nachweis, dass ein Sicherheitsmanagementsystem etabliert wurde und dass die erforderlichen baulichen, personellen, organisatorischen und technischen IT-Grundschutzmassnahmen realisiert sind. Neben diesem Sicherheitsnachweis können damit auch die für die IT-Sicherheit getätigten Investitionen für Marketingszwecke genutzt werden, um das Vertrauen bspw. In E-Commerce-Angebote zu steigern.

Die Einstiegsstufe des Zertifikates (Selbsterklärung I)
Die IT-Grundschutz-Qualifizierung in der Einstiegsstufe wird erreicht, wenn das Unternehmen die unabdingbaren Standard-Sicherheitsmassnahmen des IT-Grundschutzhandbuches umgesetzt hat. Die Vorarbeiten und Erhebungen können durch eigene Mitarbeiter oder durch einen lizenzierten Auditor erfolgen.

Die Aufbaustufe des Zertifikates (Selbsterklärung II)
Voraussetzung für die Selbsterklärung II ist die Umsetzung der wichtigsten Standard-Sicherheitsmassnahmen. Die notwendigen Vorarbeiten, Erhebungen, Erklärungen und Beglaubigungen erfolgen wie bei der Einstiegsstufe des BSI-Zertifikates.

Publikation der BSI IT-Grundschutz-Zertifikate
Auf der Grundlage des Auditreports entscheidet die Zertifizierungsstelle über die Vergabe des IT-Grundschutz-Zertifikats. Diese Zertifikate werden auf dem BSI-Server veröffentlicht. Die zertifizierten Unternehmen und Behörden erwerben mit dem Zertifikat auch das Recht, dieses auf ihren Internet Servern, in Publikationen, Formularen etc. namentlich und in form eines Stempels aufzuführen.

ISO 27001/27002