IT-Grundschutz/Testat: Unterschied zwischen den Versionen

Aus Foxwiki
Keine Bearbeitungszusammenfassung
Keine Bearbeitungszusammenfassung
 
(6 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt)
Zeile 1: Zeile 1:
'''Grundschutz Testat zu Basisabsicherung''' - Kurzbeschreibung
'''Grundschutz Testat zu Basisabsicherung''' -  
 
 


== Beschreibung ==
== Beschreibung ==
[[File:Nachweis.jpg|mini|400px]]
[[File:Nachweis.jpg|mini|400px]]
Die Basis-Absicherung kann als schlanker Einstieg in den Aufbau eines Managementsystems für Informationssicherheit (ISMS) in einer Institution dienen
; [[Basis-Absicherung]] ist ein schlanker Einstieg in ein [[ISMS]]
* Im Fokus der Sicherheitsbetrachtungen stehen die Basis-Anforderungen aus dem IT-Grundschutz-Kompendium, die eine grundlegende Erst-Absicherung über alle Geschäftsprozesse hinweg bieten
* Im Fokus der Sicherheitsbetrachtungen stehen die Basis-Anforderungen aus dem IT-Grundschutz-Kompendium, die eine grundlegende Erst-Absicherung über alle Geschäftsprozesse hinweg bieten
* Die Umsetzung lässt sich mit einem vergleichsweise geringem finanziellen, personellen und zeitlichen Aufwand realisieren
* Die Umsetzung lässt sich mit einem vergleichsweise geringem finanziellen, personellen und zeitlichen Aufwand realisieren
* Dadurch eignet sich die Basis-Absicherung gerade für KMU oder kleinere Kommunen, die einen ganzheitlichen Ansatz zum Aufbau eines ISMS verfolgen wollen
* Dadurch eignet sich die Basis-Absicherung gerade für KMU oder kleinere Kommunen, die einen ganzheitlichen Ansatz zum Aufbau eines ISMS verfolgen wollen


Den Nachweis der Umsetzung des IT-Grundschutzes gemäß der Basis-Absicherung ermöglicht das Testat nach der Basis-Absicherung
== Testat ==
 
; Nachweis der Umsetzung Basis-Absicherung nach IT-Grundschutz
Mit einem Testat nach der Basis-Absicherung kann eine Institution nachweisen, dass sie alle Geschäftsprozesse bzw. Fachaufgaben, Daten und Komponenten des betrachteten Informationsverbundes unter technischen, infrastrukturellen, organisatorischen und personellen Aspekten mit einem Mindestmaß an Informationssicherheit abgesichert hat
Mit einem Testat nach der Basis-Absicherung kann eine Institution nachweisen, dass sie alle Geschäftsprozesse bzw. Fachaufgaben, Daten und Komponenten des betrachteten Informationsverbundes unter technischen, infrastrukturellen, organisatorischen und personellen Aspekten mit einem Mindestmaß an Informationssicherheit abgesichert hat


Zeile 18: Zeile 20:
[[File:testatProzess.jpg|mini|400px]]
[[File:testatProzess.jpg|mini|400px]]


; IT-Grundschutz-Auditor
Damit Institutionen nachweisen können, dass sie in die Informationssicherheit eingestiegen sind, sollten sie zunächst einen zertifizierten IT-Grundschutz-Auditor beauftragen
Damit Institutionen nachweisen können, dass sie in die Informationssicherheit eingestiegen sind, sollten sie zunächst einen zertifizierten IT-Grundschutz-Auditor beauftragen


; Mindestmaß an Informationssicherheit nach der Basis-Absicherung
; Mindestmaß an Informationssicherheit nach der Basis-Absicherung
* alle Geschäftsprozesse bzw. Fachaufgaben
* Definition des Informationsverbundes
* Daten und Komponenten des betrachteten Informationsverbundes
** Technisch, infrastrukturell, organisatorisch und personell
* unter technischen, infrastrukturellen, organisatorischen und personellen Aspekten
* Geschäftsprozesse/Fachaufgaben
* Daten und Komponenten


; Prüfung
; Prüfung
Zeile 29: Zeile 33:
*  nach dem Prüfschema für die Erteilung eines Testats nach der Basis-Absicherung gemäß IT-Grundschutz (Prüfschema)
*  nach dem Prüfschema für die Erteilung eines Testats nach der Basis-Absicherung gemäß IT-Grundschutz (Prüfschema)


; Prüfbericht
Auf der Grundlage der im Prüfbericht zusammengefassten Ergebnisse gibt der IT-Grundschutz-Auditor ein Votum ab
Auf der Grundlage der im Prüfbericht zusammengefassten Ergebnisse gibt der IT-Grundschutz-Auditor ein Votum ab
* Kommt der IT-Grundschutz-Auditor zu dem Ergebnis, dass die Institution alle Basis-Anforderungen der Basis-Absicherung erfolgreich erfüllt hat, kann er ein Testat nach der Basis-Absicherung erteilen
* Kommt der IT-Grundschutz-Auditor zu dem Ergebnis, dass die Institution alle Basis-Anforderungen der Basis-Absicherung erfolgreich erfüllt hat, kann er ein Testat nach der Basis-Absicherung erteilen
* Hierzu stellt das BSI ein Testat-Logo mit eindeutiger Identifizierungsnummer zur Verfügung
 
Hinweis
: Die Ausstellung der Auditoren-Testate erfolgt nicht durch die Zertifizierungsstelle und liegt allein in der Verantwortung des zertifizierten Auditors
 
; Testat-Logo
[[File:Testat_Logo_Muster.jpg|mini|400px]]
Hierzu stellt das BSI ein Testat-Logo mit eindeutiger Identifizierungsnummer zur Verfügung
* Die eindeutigen Identifizierungsnummern werden vom BSI vergeben und ermöglichen es, die Echtheit bei Bedarf auf Nachfrage beim BSI zu überprüfen
* Die eindeutigen Identifizierungsnummern werden vom BSI vergeben und ermöglichen es, die Echtheit bei Bedarf auf Nachfrage beim BSI zu überprüfen
* Das Testat-Logo darf vom IT-Grundschutz-Auditor gemäß der abgeschlossenen Nutzungsvereinbarung für die Ausstellung der Testat-Urkunde verwendet werden, außerdem kann die Institution das Testat-Logo als Bilddatei vom IT-Grundschutz-Auditor erhalten, um es beispielsweise auf ihrer Webseite zu präsentieren
* Das Testat-Logo darf vom IT-Grundschutz-Auditor gemäß der abgeschlossenen Nutzungsvereinbarung für die Ausstellung der Testat-Urkunde verwendet werden, außerdem kann die Institution das Testat-Logo als Bilddatei vom IT-Grundschutz-Auditor erhalten, um es beispielsweise auf ihrer Webseite zu präsentieren
* Zum Abschließen der Nutzungsvereinbarung wendet sich der IT-Grundschutz-Auditor an grundschutz@bsi.bund.de
* Zum Abschließen der Nutzungsvereinbarung wendet sich der IT-Grundschutz-Auditor an grundschutz@bsi.bund.de


; Testat-Logo
[[File:Testat_Logo_Muster.jpg|mini|400px]]
Das Testat-Logo enthält eine eindeutige Identifizierungsnummer sowie dem Namen der geprüften Institution
Das Testat-Logo enthält eine eindeutige Identifizierungsnummer sowie dem Namen der geprüften Institution
* Die Identifizierungsnummer setzt sich dabei aus dem Kürzel „IGT“ für „IT-Grundschutz Testierung“, eine fortlaufenden Nr. und der Angabe des Jahres, bis zu dem das Testat gültig ist
* Die Identifizierungsnummer setzt sich dabei aus dem Kürzel „IGT“ für „IT-Grundschutz Testierung“, eine fortlaufenden Nr. und der Angabe des Jahres, bis zu dem das Testat gültig ist


; Gültigkeit
Ein Testat ist zwei Jahre gültig und kann nicht verlängert werden
Ein Testat ist zwei Jahre gültig und kann nicht verlängert werden
* Es kann aber jederzeit ein neues Testat beantragt werden
* Es kann aber jederzeit ein neues Testat beantragt werden
* Das BSI überprüft die Prüfberichte von Testaten grundsätzlich nicht, kann diese aber bei Rückfragen anfordern und einsehen
* Das BSI überprüft die Prüfberichte von Testaten grundsätzlich nicht, kann diese aber bei Rückfragen anfordern und einsehen


; Hinweis
 
: Die Ausstellung der Auditoren-Testate erfolgt nicht durch die Zertifizierungsstelle und liegt allein in der Verantwortung des zertifizierten Auditors


<noinclude>
<noinclude>
Zeile 56: Zeile 65:
===== Weblinks =====
===== Weblinks =====
# [https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/IT-Grundschutz/Zertifizierte-Informationssicherheit/Testat-nach-der-Basisabsicherung/testat-nach-der-basisabsicherung_node.html Testat nach der Basisabsicherung]
# [https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/IT-Grundschutz/Zertifizierte-Informationssicherheit/Testat-nach-der-Basisabsicherung/testat-nach-der-basisabsicherung_node.html Testat nach der Basisabsicherung]
# [https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Testat/Pruefschema.html Testat/Pruefschema]


[[Kategorie:Grundschutz/Zertifizierung]]
[[Kategorie:IT-Grundschutz/Zertifizierung]]


</noinclude>
</noinclude>

Aktuelle Version vom 26. Oktober 2024, 13:49 Uhr

Grundschutz Testat zu Basisabsicherung -


Beschreibung

Basis-Absicherung ist ein schlanker Einstieg in ein ISMS
  • Im Fokus der Sicherheitsbetrachtungen stehen die Basis-Anforderungen aus dem IT-Grundschutz-Kompendium, die eine grundlegende Erst-Absicherung über alle Geschäftsprozesse hinweg bieten
  • Die Umsetzung lässt sich mit einem vergleichsweise geringem finanziellen, personellen und zeitlichen Aufwand realisieren
  • Dadurch eignet sich die Basis-Absicherung gerade für KMU oder kleinere Kommunen, die einen ganzheitlichen Ansatz zum Aufbau eines ISMS verfolgen wollen

Testat

Nachweis der Umsetzung Basis-Absicherung nach IT-Grundschutz

Mit einem Testat nach der Basis-Absicherung kann eine Institution nachweisen, dass sie alle Geschäftsprozesse bzw. Fachaufgaben, Daten und Komponenten des betrachteten Informationsverbundes unter technischen, infrastrukturellen, organisatorischen und personellen Aspekten mit einem Mindestmaß an Informationssicherheit abgesichert hat

Die Standard- bzw. Kern-Absicherung sind die Vorgehensweisen, die angestrebt werden sollten, um eine Institution angemessen und umfassend nach dem Stand der Technik zu schützen

  • Dazu kann ein ISO-27001-Zertifikat auf der Basis von IT-Grundschutz beim BSI beantragt werden

Testat-Verfahren

IT-Grundschutz-Auditor

Damit Institutionen nachweisen können, dass sie in die Informationssicherheit eingestiegen sind, sollten sie zunächst einen zertifizierten IT-Grundschutz-Auditor beauftragen

Mindestmaß an Informationssicherheit nach der Basis-Absicherung
  • Definition des Informationsverbundes
    • Technisch, infrastrukturell, organisatorisch und personell
  • Geschäftsprozesse/Fachaufgaben
  • Daten und Komponenten
Prüfung

Der IT-Grundschutz-Auditor prüft die Dokumente und auditiert in einer Vor‑Ort‑Prüfung die Erfüllung der Basis-Anforderungen

  • nach dem Prüfschema für die Erteilung eines Testats nach der Basis-Absicherung gemäß IT-Grundschutz (Prüfschema)
Prüfbericht

Auf der Grundlage der im Prüfbericht zusammengefassten Ergebnisse gibt der IT-Grundschutz-Auditor ein Votum ab

  • Kommt der IT-Grundschutz-Auditor zu dem Ergebnis, dass die Institution alle Basis-Anforderungen der Basis-Absicherung erfolgreich erfüllt hat, kann er ein Testat nach der Basis-Absicherung erteilen

Hinweis

Die Ausstellung der Auditoren-Testate erfolgt nicht durch die Zertifizierungsstelle und liegt allein in der Verantwortung des zertifizierten Auditors
Testat-Logo

Hierzu stellt das BSI ein Testat-Logo mit eindeutiger Identifizierungsnummer zur Verfügung

  • Die eindeutigen Identifizierungsnummern werden vom BSI vergeben und ermöglichen es, die Echtheit bei Bedarf auf Nachfrage beim BSI zu überprüfen
  • Das Testat-Logo darf vom IT-Grundschutz-Auditor gemäß der abgeschlossenen Nutzungsvereinbarung für die Ausstellung der Testat-Urkunde verwendet werden, außerdem kann die Institution das Testat-Logo als Bilddatei vom IT-Grundschutz-Auditor erhalten, um es beispielsweise auf ihrer Webseite zu präsentieren
  • Zum Abschließen der Nutzungsvereinbarung wendet sich der IT-Grundschutz-Auditor an grundschutz@bsi.bund.de

Das Testat-Logo enthält eine eindeutige Identifizierungsnummer sowie dem Namen der geprüften Institution

  • Die Identifizierungsnummer setzt sich dabei aus dem Kürzel „IGT“ für „IT-Grundschutz Testierung“, eine fortlaufenden Nr. und der Angabe des Jahres, bis zu dem das Testat gültig ist
Gültigkeit

Ein Testat ist zwei Jahre gültig und kann nicht verlängert werden

  • Es kann aber jederzeit ein neues Testat beantragt werden
  • Das BSI überprüft die Prüfberichte von Testaten grundsätzlich nicht, kann diese aber bei Rückfragen anfordern und einsehen



Anhang

Siehe auch

Links

Weblinks
  1. Testat nach der Basisabsicherung
  2. Testat/Pruefschema