VdS 10000
VdS 10000 - Informationssicherheitsmanagementsystem für kleine und mittlere Unternehmen (KMU)
Beschreibung
- „VdS 10000 – Informationssicherheitsmanagementsystem für kleine und mittlere Unternehmen (KMU)“
- Nachfolger von VdS 3473
- Richtlinien der VdS Schadenverhütung GmbH
Richtlinien der VdS Schadenverhütung GmbH
- Vorgaben und Hilfestellungen für die Implementierung eines Informationssicherheitsmanagementsystems sowie konkrete Maßnahmen für die organisatorische sowie technische Absicherung von IT-Infrastrukturen.
- Sie sind speziell für KMU sowie für kleinere und mittlere Institutionen und Behörden ausgelegt.
- Ziele
- Ziel der VdS 10000 ist es, ein angemessenes Schutzniveau für kleine und mittlere Unternehmen und Organisationen zu definieren, was mit möglichst geringem Aufwand umgesetzt werden kann.
Informationssicherheitsmanagementsystem für kleine und mittlere Unternehmen (KMU) (PDF; 275K)
Die Richtlinien VdS 10000 – Informationssicherheitsmanagementsystem für kleine und mittlere Unternehmen (KMU) der VdS Schadenverhütung GmbH enthalten Vorgaben und Hilfestellungen für die Implementierung eines Informationssicherheitsmanagementsystems sowie konkrete Maßnahmen für die organisatorische sowie technische Absicherung von IT-Infrastrukturen.
- Sie sind speziell für KMU sowie für kleinere und mittlere Organisationen ausgelegt mit der Zielsetzung, ein angemessenes Schutzniveau zu gewährleisten, ohne sie organisatorisch oder finanziell zu überfordern.
- Die VdS 10000 ist der Nachfolger der VdS 3473.
Kennzeichen
- VdS 10000
- Aufwärtskompatibel zu ISO/IEC 27001 sowie zum IT-Grundschutz
- 43 Seiten
- 29 Seiten enthalten konkrete Maßnahmen und Empfehlungen
- Sie besitzen eine eindeutige Sprachregelung für die Verbindlichkeit von Maßnahmen („muss“ / „darf nicht“ / „sollte“ / „sollte nicht“ / „kann“).
- Analyseaufwand minimieren
Um den Analyseaufwand zu minimieren, unterscheiden die VdS 10000 nur zwischen „nicht kritischen“ und „kritischen“ IT-Ressourcen.
- Darüber hinaus sind die Kriterien, die zur Einstufung einer IT-Ressource als "kritisch" führen sehr hoch.
- Für die nicht kritischen IT-Ressourcen ist ein einfacher Basisschutz definiert, der – sofern technisch möglich – umgesetzt werden muss.
- Wenn sich die umsetzende Organisation gegen die Implementierung einzelner Maßnahmen entscheidet, muss sie eine entsprechende Risikoanalyse und -behandlung vornehmen, um die dadurch entstehenden Risiken zu erfassen und zu behandeln.
- Für kritische IT-Ressourcen fordern die VdS 10000 erweiterte Sicherheitsmaßnahmen sowie eine individuelle Risikoanalyse und -behandlung.
- VdS 10000 empfiehlt verschiedenen Themen
- Identifizieren kritischer IT-Ressourcen
- Umgebung
- Datensicherung und Archivierung
- Verfahren und
- Risikomanagement
- die Implementierung etablierter Normen aus den Bereichen
- Business Continuity Management
- physische IT-Sicherheit
- Qualitäts-
- Risikomanagement
- Unternehmen können eigene Vorgehensweisen definieren
- Müssen jedoch einige wenige Kernaspekte der etablierten Normen umsetzen
- Bestandteil der VdS 10000
- Etablierung einer Sicherheitsleitlinie
- entsprechender Richtlinien und Verfahren
- Etablierung eines kontinuierlichen Verbesserungsprozesses
Im Zuge der Überarbeitung wurden Fehler der VdS 3473 behoben und die Implementation durch Detailverbesserungen weiter erleichtert, insbesondere durch einen weiter reduzierten Analyseaufwand.
Entwicklung
- VdS 10000 Nachfolger von VdS 3473
- Auch ihre Entwicklung erfolgte durch ein Projektteam aus VdS- und externen Experten mit öffentlicher Beteiligung.
- Die erfolgten Arbeitsschritte wurden während der gesamten Entwicklungsphase in kurzen zeitlichen Abständen veröffentlicht und so Interessenten die Möglichkeit gegeben, eigene Optimierungen und Änderungswünsche einzubringen.
- Die VdS-Richtlinien liegen seit November 2018 vor und werden derzeit für 83,18 € verkauft.
Verwandtschaft zur VdS 10010
Die VdS 3473 (Vorgänger der VdS 10000) diente als Vorlage für die am 15. Dezember 2017 veröffentlichte VdS 10010 ("VdS-Richtlinien zur Umsetzung der DSGVO").
- So sind z. B. die Kapitel 1 bis 8 beider Richtlinien nahezu deckungsgleich.
Internationale Anerkennung
Die CFPA Europe, der europäische Zusammenschluss von mehr als 20 nationalen Sicherheitsorganisationen hat im März 2019 ihre Richtlinie CFPA-E Guideline No 11:2018 S, „Guideline on Cyber Security for Small and Medium-sized Enterprises“ veröffentlicht.
- Die CFPA-E Guideline No 11:2018 S basiert auf der VdS 10000 und ist ebenfalls kostenfrei erhältlich.
Unterstützende Maßnahmen
VdS-Zertifikat
- Für die Umsetzung der VdS 10000 kann ein VdS-Zertifikat erlangt werden
Um Organisationen, die ihre Informationssicherheit auf der Basis von VdS 10000 zertifizieren lassen möchten, den Einstieg zu erleichtern, hat VdS zwei vorgeschaltete Instrumente entwickelt.
- In einer webbasierten Selbstauskunft können Unternehmen einen ersten Überblick über den aktuellen Status ihrer Informationssicherheit gewinnen und sich eventuellen Handlungsbedarf verdeutlichen.
- Die Selbstauskunft besteht aus 39 Fragen zu den Handlungsfeldern Organisation, Technik, Prävention und Management.
- Sie schließt mit einer Kurzanalyse inklusive Ampelsystem sowie einem ausführlichen Statusbericht zur Informationssicherheit des ausfüllenden Unternehmens ab.
- Ein derselben Systematik folgender Quick-Check speziell für Prozessautomatisierungstechnik ist seit der CeBIT 2016 ebenfalls online.
- Auf den Ergebnissen der Selbstauskunft können Unternehmen in einem optionalen zweiten Schritt ein Audit durchführen lassen. Das meist eintägige Audit wird vor Ort von einem Auditor der VdS Schadenverhütung GmbH durchgeführt, welcher den Status der Informationssicherheit testiert und ggf. weiteren Verbesserungsbedarf ermittelt.