ISMS/Audit und Zertifizierungen: Unterschied zwischen den Versionen
Zeile 28: | Zeile 28: | ||
* Ziel der VdS 10000 ist es, ein angemessenes Schutzniveau für kleine und mittlere Unternehmen und Organisationen zu definieren, was mit möglichst geringem Aufwand umgesetzt werden kann. | * Ziel der VdS 10000 ist es, ein angemessenes Schutzniveau für kleine und mittlere Unternehmen und Organisationen zu definieren, was mit möglichst geringem Aufwand umgesetzt werden kann. | ||
* Die VdS 10000 ist der Nachfolger der VdS 3473. | * Die VdS 10000 ist der Nachfolger der VdS 3473. | ||
<noinclude> | <noinclude> | ||
Version vom 12. August 2023, 14:00 Uhr
topic - Kurzbeschreibung
Zertifizierung
Je nach Branche und Gesetz muss eine Organisation ein zertifiziertes ISMS betreiben – oft mit jährlichen externen Audit. Neben der Zertifizierung direkt auf die ISO/IEC-27000-Reihe gibt es in Deutschland drei typische Varianten:
ISO/IEC 27001-Zertifikat auf Basis von IT-Grundschutz
- Das Bundesamt für Sicherheit in der Informationstechnik (BSI) brachte mit dem IT-Grundschutz 2006 ein Konzept für die Umsetzung eines Informationssicherheitsmanagementsystems (ISMS) heraus.
- Der IT-Grundschutz bietet mit seinen drei Standards 200-1, 200-2 und 200-3 in Kombination mit den IT-Grundschutzkatalogen (bis 2006 IT-Grundschutzhandbuch genannt) Hilfestellungen bei der Einführung und Aufrechterhaltung eines ISMS.
- Seit 2006 sind die IT-Grundschutz-Kataloge an die internationale Norm ISO/IEC 27001 angepasst.
- Dieses System gilt als Quasi-Standard in deutschen Behörden.
- Das BSI legt dabei besonderen Wert auf die drei Bereiche
von Informationen.
Informations-Sicherheitsmanagement System in 12 Schritten (ISIS12)
ISMS nach ISO/IEC 27001 oder den IT-Grundschutz-Katalogen des BSI stellen aus verschiedenen Gründen oft große Hürden für Unternehmen des Mittelstands (Kleine und mittlere Unternehmen (KMU)) dar, vor allem wenn diese nicht in der IT-Branche tätig sind. ZDNet-Artikel vom 7. November 2011
- Schwierigkeiten bestehen erfahrungsgemäß unter anderem darin, ausreichend ausgebildetes Personal in den meist kleinen IT-Abteilungen abstellen zu können.
- Weiterhin stellt die in dem ISO/IEC 27001-Standard geforderte Risikoanalyse sowie das Auswählen von konkreten Maßnahmen viele Unternehmen in der Realität vor unlösbare Aufgaben.
- Das sogenannte „Netz für Informationssicherheit im Mittelstand (NIM)“ (Mitglieder u. a. Bayerischer IT-Sicherheitscluster, Universität und Hochschule Regensburg) entwickelte daher – aus IT-Grundschutz und ISO/IEC 27001 abgeleitet – ein wissenschaftlich abgestütztes Modell zur Einführung eines ISMS in 12 konkreten Schritten.
- Wesentliches Augenmerk wurde darauf gelegt, dass nicht jedes Bedrohungsszenario abgedeckt wird, sondern den Unternehmen eine klare Handlungsanweisung in begrenztem Umfang, mit integriertem Einführungskonzept und in verständlicher Sprache an die Hand gegeben wird.
VdS Richtlinien 10000 (VdS 10000)
Die Richtlinien „VdS 10000 – Informationssicherheitsmanagementsystem für kleine und mittlere Unternehmen (KMU)“ Informationssicherheitsmanagementsystem für kleine und mittlere Unternehmen (KMU) (PDF; 275K) der VdS Schadenverhütung GmbH enthalten Vorgaben und Hilfestellungen für die Implementierung eines Informationssicherheitsmanagementsystems sowie konkrete Maßnahmen für die organisatorische sowie technische Absicherung von IT-Infrastrukturen.
- Sie sind speziell für KMU sowie für kleinere und mittlere Institutionen und Behörden ausgelegt.
- Ziel der VdS 10000 ist es, ein angemessenes Schutzniveau für kleine und mittlere Unternehmen und Organisationen zu definieren, was mit möglichst geringem Aufwand umgesetzt werden kann.
- Die VdS 10000 ist der Nachfolger der VdS 3473.