Grundschutz/Audit/Zertifizierungsverfahren: Unterschied zwischen den Versionen
K Dirkwagner verschob die Seite Grundschutz/Audit/tmp/Zertifizierungsverfahren nach Grundschutz/Audit/Zertifizierungsverfahren, ohne dabei eine Weiterleitung anzulegen |
Keine Bearbeitungszusammenfassung |
||
| Zeile 38: | Zeile 38: | ||
; Die Referenzdokumente sind Bestandteil des Auditberichts. | ; Die Referenzdokumente sind Bestandteil des Auditberichts. | ||
* Sollten zusätzliche Dokumente erstellt worden sein, die zur Prüfung relevant sind, sind diese ebenfalls in der aktuellen Fassung dem Auditteamleiter vorzulegen und können bei Bedarf Gegenstand des Auditberichts werden. | * Sollten zusätzliche Dokumente erstellt worden sein, die zur Prüfung relevant sind, sind diese ebenfalls in der aktuellen Fassung dem Auditteamleiter vorzulegen und können bei Bedarf Gegenstand des Auditberichts werden. | ||
[[Kategorie:IT-Grundschutz/Audit]] | |||
Aktuelle Version vom 23. Oktober 2024, 12:56 Uhr
Zertifizierungsverfahren
Ablauf des Prozesses
Erst nach erfolgreicher Initialisierung des Zertifizierungsprozesses durch die Stellung eines Zertifizierungsantrags und Prüfung der Unabhängigkeitserklärungen aller Mitglieder des Auditteams, kann ein Audit begonnen und durchgeführt werden. Abbildung 1: Ablauf Zertifizierungsprozess Auf der Grundlage einer Dokumentenprüfung (siehe Kapitel 4.1 Phase 1 des Audits: Dokumentenprüfungen) bereiten sich die Mitglieder des Auditteams auf die Vor-Ort-Prüfung (siehe Kapitel 4.2 Vorbereitung des Vor- Ort-Audits) vor, bevor das Auditteam die konkrete Umsetzung der Anforderung vor Ort überprüft (siehe Kapitel 4.4 Phase 2: Umsetzungsprüfung vor Ort).
- Werden Defizite festgestellt, muss die Institution Nachbesserungen durchführen (siehe Kapitel 4.6 Nachbesserungen), damit der Auditteamleiter ein positives Gesamtvotum (siehe Kapitel 4.8 Gesamtvotum für die Erteilung eines Zertifikats) abgeben kann.
- Nach Abgabe des Auditberichts an die Prüfbegleitung der Zertifizierungsstelle des BSI kann diese noch Nachforderungen (siehe Kapitel 4.9 Nachforderungen) an den Auditbericht gegenüber dem Auditteamleiter oder den Antragsteller haben.
- Nach positiver Abnahme des Auditberichts kann ein Zertifikat erteilt werden.
Arten der Auditierung
Ein Erst-Zertifizierungsaudit betrachtet den gesamten Sicherheitsprozess eines Informationsverbundes sowie die Überprüfung der Umsetzung der Anforderungen im Rahmen einer Stichprobenprüfung auf der Basis von Bausteinen aus dem IT-Grundschutz/Kompendium.
- Hierbei kann sich der Auditteamleiter mit dem Auditteam im Rahmen eines Voraudits einen Überblick über den Informationsverbund verschaffen.
- Die Aufrechterhaltung der Sicherheit wird mit einem jährlich durchzuführenden Überwachungsaudit geprüft.
- Ein Zertifikat kann durch eine Re-Zertifizierung um drei Jahre verlängert werden.
- Der Auditteamleiter greift für das Re-Zertifizierungsaudit auf die Ergebnisse der Auditierungen der vorhergehenden Zertifizierung (Audit für das Erst-Zertifizierungsverfahren sowie die Überwachungsaudits) zurück und berücksichtigt bei der Prüfung auch die Veränderungen, die sich innerhalb des Informationsverbundes seit dem letzten Audit ergeben haben.
Jedes Audit umfasst zwei Phasen: eine Dokumentenprüfung und eine Vor-Ort-Prüfung.
- Die Ergebnisse werden immer in einem Auditbericht zusammengefasst.
Voraussetzungen auf Seiten des Antragstellers
- Für jedes Audit stellt eine Institution die erforderlichen Referenzdokumente bereit
- Zusätzlich sind vom Antragsteller in einer zusammenfassenden Übersicht der Stand der jeweiligen Referenzdokumente sowie wesentliche Änderungen gegenüber dem letzten Audit aufzuzeigen.
- Voraussetzung für die Zertifizierung und Auditierung ist die Umsetzung der Standard- oder Kernabsicherung der IT-Grundschutz-Methodik
- Grundlage dafür ist die aktuelle Version der Prüfungsgrundlage für Zertifizierungen nach ISO 27001 auf der Basis von IT-Grundschutz in der die gültigen Versionen und Übergangsfristen festgelegt sind.
- Für jedes Verfahren muss die aktuelle Edition des IT-Grundschutz- Kompendiums verwendet werden, da zum Auditbeginn durch den Auditteamleiter geprüft wird, ob gültige Versionen verwendet wurden.
- Folgende Referenzdokumente bilden die Grundlage für die Zertifizierung und müssen vom Antragsteller dem Auditteamleiter und der Prüfbegleitung des BSI zur Verfügung gestellt werden
- Leitlinie und Richtlinien für Informationssicherheit (A.0) - Strukturanalyse (A.1) - Schutzbedarfsfeststellung (A.2) - Modellierung des Informationsverbundes (A.3) - Ergebnis des IT-Grundschutz-Checks (A.4) - Risikoanalyse (A.5) - Realisierungsplan (A.6)
Der Auditteamleiter kann darüber hinaus während des Vor-Ort-Audits weitere Dokumente und Aufzeichnungen einsehen.
- Die Referenzdokumente sind Bestandteil des Auditberichts.
- Sollten zusätzliche Dokumente erstellt worden sein, die zur Prüfung relevant sind, sind diese ebenfalls in der aktuellen Fassung dem Auditteamleiter vorzulegen und können bei Bedarf Gegenstand des Auditberichts werden.