Kategorie:IT-Grundschutz/Zertifizierung

Aus Foxwiki

Zertifizierungsschema für ISO 27001-Zertifizierung auf der Basis von IT-Grundschutz

Beschreibung

  • ISO 27001-Zertifizierungen auf der Basis von IT-Grundschutz ermöglichen Behörden und Unternehmen, ihre Bemühungen um Informationssicherheit und die erfolgreiche Umsetzung internationaler Normen unter Anwendung der IT-Grundschutz-Methodik nach innen und außen zu dokumentieren.
  • Rechtliche Grundlagen des Verfahrens sind das Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSI-Gesetz – BSIG, [BSIG]) und die Zertifizierungsverordnung zum BSI-Gesetz [ZVO].
  • Die für ISO 27001-Zertifizierungsverfahren auf der Basis von IT-Grundschutz relevanten Kriterienwerke sind ISO/IEC 27001 "Information technology - Security techniques - Information security management systems – Requirements", die BSI-Standards 200-2 „IT-Grundschutz-Methodik“ [2002] und BSI-Standard 200-3 „Risikoanalyse auf Basis von IT-Grundschutz“ [2003] sowie das ITGrundschutz-Kompendium des BSI.
  • Für weitere Informationen sei auf Kap. 1.6 verwiesen.
  • Grundlage dieses Dokumentes bilden ferner die Normen ISO/IEC 27006 „Information technology Security techniques - Requirements for bodies providing audit and certification of information security management systems“ sowie DIN EN ISO/IEC 17021 "Konformitätsbewertung - Anforderungen an Stellen, die Managementsysteme auditieren und zertifizieren", welche Anleitungen und Anforderungen für den Ablauf und die Durchführung von Audits und Zertifizierungsverfahren enthalten.

Zielsetzung

  • Beschreibung der grundsätzlichen Vorgehensweise und die Voraussetzungen für eine ISO 27001-Zertifizierung auf der Basis von IT-Grundschutz.
  • Das Dokument gibt insbesondere Informationen zu den am Zertifizierungsverfahren beteiligten Parteien und deren Verantwortlichkeiten, Aufgaben, Aktivitäten und Zusammenwirken.

Adressatenkreis

  • Institutionen
    • die eine ISO 27001-Zertifizierung auf der Basis von IT-Grundschutz anstreben
  • ISO 27001-Auditoren auf der Basis von IT-Grundschutz
    • die ein unabhängiges Audit durchführen
      • um die Konformität eines Managementsystems für Informationssicherheit gemäß ISO 27001 auf der Basis von IT-Grundschutz in einer Einrichtung oder Institution zu bestätigen.

Insbesondere können sich Einrichtungen und Institutionen und deren IT-Sicherheitsverantwortliche sowie Auditoren einen Überblick über die grundsätzlichen Anforderungen an eine ISO 27001-Zertifizierung auf der Basis von IT-Grundschutz verschaffen und über die Vorgehensweise einer ISO 27001-Zertifizierung auf der Basis von IT-Grundschutz informieren.

Anwendungshinweise

  • Im folgenden Dokument werden die grundsätzliche Vorgehensweise und die Voraussetzungen für eine ISO 27001-Zertifizierung auf der Basis von IT-Grundschutz beschrieben.
  • Detaillierte Informationen zur Zielsetzung und Durchführung von ISO 27001-Audits auf der Basis von IT-Grundschutz und insbesondere eine detaillierte Beschreibung des Auditprozesses und seiner Phasen, der Auditprinzipien, der Verantwortlichkeiten der Mitglieder des Auditteams und der im einzelnen vom Auditteam durchzuführenden Prüfaufgaben und -aktivitäten sowie der Mitwirkung des Antragstellers werden im Rahmen eines eigenen Schemadokuments zum Auditierungsschema für ISO 27001-Audits auf der Basis von IT-Grundschutz gegeben (siehe [AUD]).

Begriffe und Definitionen

  • Ein Informationsverbund stellt nicht nur den Verbund der betrachteten IT-Systeme dar, sondern umfasst auch das damit verbundene Informationssicherheits-Managementsystem (ab hier ISMS abgekürzt).
  • Der Informationsverbund ist der Geltungsbereich der Zertifizierung (sog. Untersuchungsgegenstand).
  • Audits können von einem oder mehreren Auditoren durchgeführt werden, die vom Bundesamt für Sicherheit in der Informationstechnik zertifiziert 1 sind.
    • Der für die Durchführung eines Audits verantwortliche Auditor wird in diesem Dokument Auditteamleiter genannt.
  • Einem Auditteam können auch Fachexperten angehören, die spezielle Branchenkenntnisse oder solide Kenntnisse und Erfahrungen hinsichtlich der im Informationsverbund eingesetzten Informations- und Kommunikationstechnik besitzen.
  • Die Rollen der beteiligten Parteien im Zertifizierungsaudit sind in Kap. 2.2 näher ausgeführt.

Literaturverzeichnis

[AUD] [PRÜFGR] [REFDOK] [ZERTAUD] [17021] [19011] [27001] [27002] [27006] [2002] [2003] [GSK] [BSIG]

Zertifizierung nach ISO 27001 auf der Basis von IT-Grundschutz, Auditierungsschema mit Anlagen, Version 2.2 Prüfgrundlage für Zertifizierungen nach ISO 27001 auf der Basis von IT-Grundschutz in der jeweils veröffentlichten Version Hinweise zur Bereitstellung der Referenzdokumente im Rahmen der Zertifizierung nach ISO 27001 auf der Basis von IT-Grundschutz, Version 2.0 Verfahrensbeschreibung zur Kompetenzfeststellung und Zertifizierung von Personen DIN EN ISO/IEC 17021-1:2011 "Konformitätsbewertung - Anforderungen an Stellen, die Managementsysteme auditieren und zertifizieren" DIN EN ISO 19011:2011 „Leitfaden für Audits von Qualitätsmanagement- und/oder Umweltmanagementsystemen“ DIN EN ISO/IEC 27001:2017 „Informationstechnik - IT-Sicherheitsverfahren Informationssicherheits-Managementsysteme - Anforderungen " DIN EN ISO/IEC 27002:2005 "Informationstechnik - IT-Sicherheitsverfahren Leitfaden für das Informationssicherheits-Management" ISO/IEC 27006:2011 „Information technology - Security techniques - Requirements for bodies providing audit and certification of information security management systems“ BSI-Standard 2002 „IT-Grundschutz-Methodik“ BSI-Standard 2003 „Risikoanalyse auf Basis von IT-Grundschutz“ IT-Grundschutz-Kompendium, BSI BSI-Gesetz vom 14. August 2009 (BGBl. I S. 2821), das zuletzt durch Artikel 1 des Gesetzes vom 23. Juni 2017 (BGBl. I S. 1885) geändert worden ist

In diesem Dokument wird nicht unterschieden zwischen zertifizierten und den nach dem früheren Lizenzierungsschema lizenzierten Auditoren, beide werden hier als zertifizierte Auditoren bezeichnet.

Zertifizierungsschema für ISO 27001-Zertifizierung auf der Basis von IT-Grundschutz [ZVO]

BSI-Zertifizierungs- und -Anerkennungsverordnung vom 17. Dezember 2014 (BGBl. I S. 2231), die durch Artikel 40 des Gesetzes vom 29. März 2017 (BGBl. * I S. 626) geändert worden ist"

Installation

Syntax

Optionen

Parameter

Umgebungsvariablen

Exit-Status

Anwendung

Fehlerbehebung

Konfiguration

Dateien

Anhang

Siehe auch

Unterseiten

Sicherheit

Dokumentation

RFC
Man-Pages
Info-Pages

Links

Einzelnachweise
Projekt
Weblinks

Testfragen

Testfrage 1

Antwort1

Testfrage 2

Antwort2

Testfrage 3

Antwort3

Testfrage 4

Antwort4

Testfrage 5

Antwort5


Seiten in der Kategorie „IT-Grundschutz/Zertifizierung“

Folgende 4 Seiten sind in dieser Kategorie, von 4 insgesamt.

I

Abgerufen von „https://wiki.foxtom.de/index.php?title=Kategorie:IT-Grundschutz/Zertifizierung&oldid=64491