|
|
| (32 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt) |
| Zeile 1: |
Zeile 1: |
| '''VdS 10000''' - Informationssicherheitsmanagementsystem für kleine und mittlere Unternehmen (KMU)
| | [[Kategorie:ISMS/Standard]] |
| | |
| == Beschreibung ==
| |
| Die Richtlinien „VdS 10000 – Informationssicherheitsmanagementsystem für kleine und mittlere Unternehmen (KMU)“ [https://vds.de/fileadmin/vds_publikationen/vds_10000_web.pdf ''Informationssicherheitsmanagementsystem für kleine und mittlere Unternehmen (KMU)''] (PDF; 275K) der [[VdS Schadenverhütung]] GmbH enthalten Vorgaben und Hilfestellungen für die Implementierung eines Informationssicherheitsmanagementsystems sowie konkrete Maßnahmen für die organisatorische sowie technische Absicherung von IT-Infrastrukturen.
| |
| * Sie sind speziell für [[Kleine und mittlere Unternehmen|KMU]] sowie für kleinere und mittlere Institutionen und Behörden ausgelegt.
| |
| * Ziel der VdS 10000 ist es, ein angemessenes Schutzniveau für kleine und mittlere Unternehmen und Organisationen zu definieren, was mit möglichst geringem Aufwand umgesetzt werden kann.
| |
| * Die VdS 10000 ist der Nachfolger der VdS 3473.
| |
| | |
| Die Richtlinien '''VdS 10000 – Informationssicherheitsmanagementsystem für kleine und mittlere Unternehmen (KMU)''' der [[VdS Schadenverhütung]] GmbH enthalten Vorgaben und Hilfestellungen für die Implementierung eines [[Information_Security_Management_System|Informationssicherheitsmanagementsystems]] sowie konkrete Maßnahmen für die organisatorische sowie technische Absicherung von IT-Infrastrukturen.
| |
| * Sie sind speziell für [[Kleine_und_mittlere_Unternehmen|KMU]] sowie für kleinere und mittlere Organisationen ausgelegt mit der Zielsetzung, ein angemessenes Schutzniveau zu gewährleisten, ohne sie organisatorisch oder finanziell zu überfordern.
| |
| * Die VdS 10000 ist der Nachfolger der [[VdS 3473]].
| |
| | |
| === Kennzeichen ===
| |
| Die VdS 10000 sind aufwärtskompatibel zu [[ISO/IEC 27001]] sowie zum [[IT-Grundschutz]].
| |
| * Sie sind 43 Seiten lang, 29 Seiten davon beinhalten konkrete Maßnahmen und Empfehlungen.
| |
| * Sie besitzen eine eindeutige Sprachregelung für die Verbindlichkeit von Maßnahmen („muss“ / „darf nicht“ / „sollte“ / „sollte nicht“ / „kann“).
| |
| Um den Analyseaufwand zu minimieren, unterscheiden die VdS 10000 nur zwischen „nicht kritischen“ und „kritischen“ IT-Ressourcen.
| |
| * Darüber hinaus sind die Kriterien, die zur Einstufung einer IT-Ressource als "kritisch" führen sehr hoch.
| |
| * Für die nicht kritischen IT-Ressourcen ist ein einfacher Basisschutz definiert, der – sofern technisch möglich – umgesetzt werden muss.
| |
| * Wenn sich die umsetzende Organisation gegen die Implementierung einzelner Maßnahmen entscheidet, muss sie eine entsprechende Risikoanalyse und -behandlung vornehmen, um die dadurch entstehenden Risiken zu erfassen und zu behandeln.
| |
| * Für kritische IT-Ressourcen fordern die VdS 10000 erweiterte Sicherheitsmaßnahmen sowie eine individuelle Risikoanalyse und -behandlung.
| |
| | |
| Die VdS 10000 empfiehlt bei verschiedenen Themen (Identifizieren kritischer IT-Ressourcen, Umgebung, Datensicherung und Archivierung, Verfahren und Risikomanagement) die Implementierung etablierter Normen aus den Bereichen [[Business Continuity Management]], [[physische IT-Sicherheit]], [[Qualitätsmanagement|Qualitäts-]] und [[Risikomanagement]].
| |
| * Allerdings können Unternehmen eigene Vorgehensweisen definieren.
| |
| * Diese müssen jedoch einige wenige Kernaspekte der etablierten Normen umsetzen.
| |
| Bestandteil der VdS 10000 ist die Etablierung einer Sicherheitsleitlinie, entsprechender [[Richtlinie|Richtlinien]] und Verfahren sowie die Etablierung eines [[Kontinuierlicher_Verbesserungsprozess|kontinuierlichen Verbesserungsprozesses]].
| |
| | |
| Im Zuge der Überarbeitung wurden Fehler der VdS 3473 behoben und die Implementation durch Detailverbesserungen weiter erleichtert, insbesondere durch einen weiter reduzierten Analyseaufwand.
| |
| | |
| === Entwicklung ===
| |
| Die VdS 10000 sind die Nachfolger der VdS 3473.
| |
| * Auch ihre Entwicklung erfolgte durch ein Projektteam aus VdS- und externen Experten mit öffentlicher Beteiligung.
| |
| * Die erfolgten Arbeitsschritte wurden während der gesamten Entwicklungsphase in kurzen zeitlichen Abständen veröffentlicht und so Interessenten die Möglichkeit gegeben, eigene Optimierungen und Änderungswünsche einzubringen.
| |
| * Die VdS-Richtlinien liegen seit November 2018 vor und werden derzeit für 83,18 € verkauft.<ref>{{Internetquelle |url=https://shop.vds.de/publikation/vds-10000 |titel=VdS Webshop |abruf=2023-09-07}}</ref>
| |
| | |
| == Verwandtschaft zur VdS 10010 ==
| |
| Die VdS 3473 (Vorgänger der VdS 10000) diente als Vorlage für die am 15.
| |
| * Dezember 2017 veröffentlichte [[VdS 10010|VdS 10010 ("VdS-Richtlinien zur Umsetzung der DSGVO")]].
| |
| * So sind z.
| |
| * B.
| |
| * die Kapitel 1 bis 8 beider Richtlinien nahezu deckungsgleich.
| |
| | |
| == Internationale Anerkennung ==
| |
| Die CFPA Europe, der europäische Zusammenschluss von mehr als 20 nationalen Sicherheitsorganisationen hat im März 2019 ihre Richtlinie CFPA-E Guideline No 11:2018 S, „Guideline on Cyber Security for Small and Medium-sized Enterprises“ veröffentlicht.
| |
| * Die CFPA-E Guideline No 11:2018 S basiert auf der VdS 10000 und ist ebenfalls kostenfrei erhältlich.<ref>[http://cfpa-e.eu/cfpa-e-guidelines/guidelines-security-form/ Webseite der CFPA Europe]</ref> Der europäische Versicherungsverband [[Insurance Europe]] hat die neuen Richtlinien offiziell über ein sogenanntes „Endorsement“ befürwortet.<ref>[http://cfpa-e.eu/cfpa-europe-publishes-first-european-guideline-for-cybersecurity-in-smes/ Presseerklärung der CFPA Europe]</ref>
| |
| | |
| == Unterstützende Maßnahmen ==
| |
| Für die Umsetzung der VdS 10000 kann ein [[VdS Schadenverhütung#VdS-Zertifikat|VdS-Zertifikat]] erlangt werden.
| |
| Um Organisationen, die ihre Informationssicherheit auf der Basis von VdS 10000 zertifizieren lassen möchten, den Einstieg zu erleichtern, hat VdS zwei vorgeschaltete Instrumente entwickelt.
| |
| * In einer webbasierten Selbstauskunft<ref>[https://www.vds-quick-check.de/ Webseite des VdS-Quick-Check]</ref> können Unternehmen einen ersten Überblick über den aktuellen Status ihrer Informationssicherheit gewinnen und sich eventuellen Handlungsbedarf verdeutlichen.
| |
| * Die Selbstauskunft besteht aus 39 Fragen zu den Handlungsfeldern Organisation, Technik, Prävention und Management.
| |
| * Sie schließt mit einer Kurzanalyse inklusive Ampelsystem sowie einem ausführlichen Statusbericht zur Informationssicherheit des ausfüllenden Unternehmens ab.
| |
| * Ein derselben Systematik folgender Quick-Check speziell für Prozessautomatisierungstechnik ist seit der CeBIT 2016 ebenfalls online.<ref>[https://www.vds-quick-check.de/quick-check-fuer-ics Webseite des VdS-Quick-Check für ICS]</ref>
| |
| * Auf den Ergebnissen der Selbstauskunft können Unternehmen in einem optionalen zweiten Schritt ein Audit durchführen lassen.<ref>[https://vds.de/cyber/quick-audit/ Webseite des VdS Quick-Audit]</ref> Das meist eintägige Audit wird vor Ort von einem Auditor der VdS Schadenverhütung GmbH durchgeführt, welcher den Status der Informationssicherheit testiert und ggf.
| |
| * weiteren Verbesserungsbedarf ermittelt.
| |
| | |
| <noinclude>
| |
| | |
| == Anhang ==
| |
| === Siehe auch ===
| |
| {{Special:PrefixIndex/VdS}}
| |
| ==== Links ====
| |
| ===== Weblinks =====
| |
| # https://de.wikipedia.org/wiki/VdS_10000
| |
| | |
| | |
| | |
| == Weblinks ==
| |
| * [https://shop.vds.de/publikation/vds-10000 VdS 10000 (Informationssicherheitsmanagementsystem für kleine und mittlere Unternehmen)]
| |
| | |
| [[Kategorie:IT-Sicherheit|VdS 10000]]
| |
| | |
| </noinclude>
| |