|
|
(21 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt) |
Zeile 1: |
Zeile 1: |
| '''Zertifizierungsschema''' für ISO 27001-Zertifizierung auf der Basis von IT-Grundschutz
| |
|
| |
| == Beschreibung ==
| |
| * ISO 27001-Zertifizierungen auf der Basis von IT-Grundschutz ermöglichen Behörden und Unternehmen, ihre Bemühungen um Informationssicherheit und die erfolgreiche Umsetzung internationaler Normen unter Anwendung der IT-Grundschutz-Methodik nach innen und außen zu dokumentieren.
| |
| * Rechtliche Grundlagen des Verfahrens sind das Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSI-Gesetz – BSIG, [BSIG]) und die Zertifizierungsverordnung zum BSI-Gesetz [ZVO].
| |
| * Die für ISO 27001-Zertifizierungsverfahren auf der Basis von IT-Grundschutz relevanten Kriterienwerke sind ISO/IEC 27001 "Information technology - Security techniques - Information security management systems – Requirements", die BSI-Standards 200-2 „IT-Grundschutz-Methodik“ [2002] und BSI-Standard 200-3 „Risikoanalyse auf Basis von IT-Grundschutz“ [2003] sowie das ITGrundschutz-Kompendium des BSI.
| |
| * Für weitere Informationen sei auf Kap. 1.6 verwiesen.
| |
| * Grundlage dieses Dokumentes bilden ferner die Normen ISO/IEC 27006 „Information technology Security techniques - Requirements for bodies providing audit and certification of information security management systems“ sowie DIN EN ISO/IEC 17021 "Konformitätsbewertung - Anforderungen an Stellen, die Managementsysteme auditieren und zertifizieren", welche Anleitungen und Anforderungen für den Ablauf und die Durchführung von Audits und Zertifizierungsverfahren enthalten.
| |
|
| |
| === Zielsetzung ===
| |
| * Beschreibung der grundsätzlichen Vorgehensweise und die Voraussetzungen für eine ISO 27001-Zertifizierung auf der Basis von IT-Grundschutz.
| |
| * Das Dokument gibt insbesondere Informationen zu den am Zertifizierungsverfahren beteiligten Parteien und deren Verantwortlichkeiten, Aufgaben, Aktivitäten und Zusammenwirken.
| |
|
| |
| === Adressatenkreis ===
| |
| * Institutionen
| |
| ** die eine ISO 27001-Zertifizierung auf der Basis von IT-Grundschutz anstreben
| |
| * ISO 27001-Auditoren auf der Basis von IT-Grundschutz
| |
| ** die ein unabhängiges Audit durchführen
| |
| *** um die Konformität eines Managementsystems für Informationssicherheit gemäß ISO 27001 auf der Basis von IT-Grundschutz in einer Einrichtung oder Institution zu bestätigen.
| |
|
| |
| Insbesondere können sich Einrichtungen und Institutionen und deren IT-Sicherheitsverantwortliche sowie Auditoren einen Überblick über die grundsätzlichen Anforderungen an eine ISO 27001-Zertifizierung auf der Basis von IT-Grundschutz verschaffen und über die Vorgehensweise einer ISO 27001-Zertifizierung auf der Basis von IT-Grundschutz informieren.
| |
|
| |
| === Anwendungshinweise ===
| |
| * Im folgenden Dokument werden die grundsätzliche Vorgehensweise und die Voraussetzungen für eine ISO 27001-Zertifizierung auf der Basis von IT-Grundschutz beschrieben.
| |
| * Detaillierte Informationen zur Zielsetzung und Durchführung von ISO 27001-Audits auf der Basis von IT-Grundschutz und insbesondere eine detaillierte Beschreibung des Auditprozesses und seiner Phasen, der Auditprinzipien, der Verantwortlichkeiten der Mitglieder des Auditteams und der im einzelnen vom Auditteam durchzuführenden Prüfaufgaben und -aktivitäten sowie der Mitwirkung des Antragstellers werden im Rahmen eines eigenen Schemadokuments zum Auditierungsschema für ISO 27001-Audits auf der Basis von IT-Grundschutz gegeben (siehe [AUD]).
| |
|
| |
| === Begriffe und Definitionen ===
| |
| * Ein '''Informationsverbund''' stellt nicht nur den Verbund der betrachteten IT-Systeme dar, sondern umfasst auch das damit verbundene '''Informationssicherheits-Managementsystem''' (ab hier '''ISMS''' abgekürzt).
| |
| * Der '''Informationsverbund''' ist der Geltungsbereich der Zertifizierung (sog. '''Untersuchungsgegenstand''').
| |
| * '''Audit'''s können von einem oder mehreren Auditoren durchgeführt werden, die vom Bundesamt für Sicherheit in der Informationstechnik zertifiziert 1 sind.
| |
| ** Der für die Durchführung eines Audits verantwortliche '''Auditor''' wird in diesem Dokument Auditteamleiter genannt.
| |
| * Einem '''Auditteam''' können auch Fachexperten angehören, die spezielle Branchenkenntnisse oder solide Kenntnisse und Erfahrungen hinsichtlich der im Informationsverbund eingesetzten Informations- und Kommunikationstechnik besitzen.
| |
| * Die '''Rollen''' der beteiligten Parteien im Zertifizierungsaudit sind in Kap. 2.2 näher ausgeführt.
| |
|
| |
| === Literaturverzeichnis ===
| |
| [AUD]
| |
| [PRÜFGR]
| |
| [REFDOK]
| |
| [ZERTAUD]
| |
| [17021]
| |
| [19011]
| |
| [27001]
| |
| [27002]
| |
| [27006]
| |
| [2002]
| |
| [2003]
| |
| [GSK]
| |
| [BSIG]
| |
|
| |
| Zertifizierung nach ISO 27001 auf der Basis von IT-Grundschutz, Auditierungsschema mit Anlagen, Version 2.2
| |
| Prüfgrundlage für Zertifizierungen nach ISO 27001 auf der Basis von IT-Grundschutz in der jeweils veröffentlichten Version Hinweise zur Bereitstellung der Referenzdokumente im Rahmen der Zertifizierung nach ISO 27001 auf der Basis von IT-Grundschutz, Version 2.0
| |
| Verfahrensbeschreibung zur Kompetenzfeststellung und Zertifizierung von Personen DIN EN ISO/IEC 17021-1:2011 "Konformitätsbewertung - Anforderungen an Stellen,
| |
| die Managementsysteme auditieren und zertifizieren"
| |
| DIN EN ISO 19011:2011 „Leitfaden für Audits von Qualitätsmanagement- und/oder Umweltmanagementsystemen“
| |
| DIN EN ISO/IEC 27001:2017 „Informationstechnik - IT-Sicherheitsverfahren Informationssicherheits-Managementsysteme - Anforderungen "
| |
| DIN EN ISO/IEC 27002:2005 "Informationstechnik - IT-Sicherheitsverfahren Leitfaden für das Informationssicherheits-Management"
| |
| ISO/IEC 27006:2011 „Information technology - Security techniques - Requirements for bodies providing audit and certification of information security management systems“
| |
| BSI-Standard 2002 „IT-Grundschutz-Methodik“
| |
| BSI-Standard 2003 „Risikoanalyse auf Basis von IT-Grundschutz“
| |
| IT-Grundschutz-Kompendium, BSI
| |
| BSI-Gesetz vom 14. August 2009 (BGBl. I S. 2821), das zuletzt durch Artikel 1 des Gesetzes vom 23. Juni 2017 (BGBl. I S. 1885) geändert worden ist
| |
|
| |
| In diesem Dokument wird nicht unterschieden zwischen zertifizierten und den nach dem früheren Lizenzierungsschema lizenzierten Auditoren, beide werden hier als zertifizierte Auditoren bezeichnet.
| |
|
| |
| Zertifizierungsschema für ISO 27001-Zertifizierung auf der Basis von IT-Grundschutz [ZVO]
| |
|
| |
| BSI-Zertifizierungs- und -Anerkennungsverordnung vom 17. Dezember 2014 (BGBl. I S. 2231), die durch Artikel 40 des Gesetzes vom 29. März 2017 (BGBl. * I S. 626) geändert worden ist"
| |
|
| |
| == Installation ==
| |
| == Syntax ==
| |
| === Optionen ===
| |
| === Parameter ===
| |
| === Umgebungsvariablen ===
| |
| === Exit-Status ===
| |
| == Anwendung ==
| |
| === Fehlerbehebung ===
| |
| == Konfiguration ==
| |
| === Dateien ===
| |
| == Anhang ==
| |
| === Siehe auch ===
| |
| ==== Unterseiten ====
| |
| {{Special:PrefixIndex/Zertifizierung}}
| |
| ==== Sicherheit ====
| |
| ==== Dokumentation ====
| |
| ===== RFC =====
| |
| ===== Man-Pages =====
| |
| ===== Info-Pages =====
| |
| ==== Links ====
| |
| ===== Einzelnachweise =====
| |
| <references />
| |
| ===== Projekt =====
| |
| ===== Weblinks =====
| |
| <noinclude>
| |
| === Testfragen ===
| |
| <div class="toccolours mw-collapsible mw-collapsed">
| |
| ''Testfrage 1''
| |
| <div class="mw-collapsible-content">'''Antwort1'''</div>
| |
| </div>
| |
| <div class="toccolours mw-collapsible mw-collapsed">
| |
| ''Testfrage 2''
| |
| <div class="mw-collapsible-content">'''Antwort2'''</div>
| |
| </div>
| |
| <div class="toccolours mw-collapsible mw-collapsed">
| |
| ''Testfrage 3''
| |
| <div class="mw-collapsible-content">'''Antwort3'''</div>
| |
| </div>
| |
| <div class="toccolours mw-collapsible mw-collapsed">
| |
| ''Testfrage 4''
| |
| <div class="mw-collapsible-content">'''Antwort4'''</div>
| |
| </div>
| |
| <div class="toccolours mw-collapsible mw-collapsed">
| |
| ''Testfrage 5''
| |
| <div class="mw-collapsible-content">'''Antwort5'''</div>
| |
| </div>
| |
|
| |
| [[Kategorie:IT-Grundschutz]] | | [[Kategorie:IT-Grundschutz]] |
| | | [[Kategorie:ISMS/Zertifizierung|Informationssicherheit/Zertifizierung]] |
| </noinclude>
| |