BSI und ISO 27001: Informationssicherheit für unsere Kunden

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) ist als Bundesoberbehörde für Informationssicherheit direkt für die Informationssicherheit zuständig und hat durch BSIG §4 folgende Aufgaben: „Entwicklung von Kriterien, Verfahren und Werkzeugen für die Prüfung und Bewertung der Sicherheit von informationstechnischen Systemen oder Komponenten und für die Prüfung und Bewertung der Konformität im Bereich der IT-Sicherheit.“

 

Diese Aufgaben wurden initial unter anderem durch das IT-Grundschutzhandbuch umgesetzt, das sich dann zum IT-Grundschutzkatalog weiterentwickelt hat und durch Aufnahme von ISMS-Themen zu einer Ausprägung des internationalen ISO 27001 entwickelt (Zertifikatstext: „ISO 27001 nach IT-Grundschutz“) hat. Auch wenn es Auseinandersetzungen um die Frage gibt, ob die Grundschutzzertifizierung eine „echte“ ISO 27001 Zertifizierung darstellt, sind beide Zertifizierungen inhaltlich dicht beinander und vergleichbar. Da SysEleven beide Zertifizierungen durchgeführt hat, können wir aus eigener Erfahrung bestätigen, dass der Aufwand für diese zusätzliche, native ISO27001, die sich inhaltlich auf die Grundschutz-Zertifizierung abstützt, mit sehr geringem Aufwand durchgeführt werden konnte.

 

Die formale Zertifizierbarkeit stellt einen wichtigen Aspekt dar, mit dem man die Einhaltung dieser akzeptierten Standards belegen kann und diese von Kunden als wichtige Aspekte oder sogar als „Must-Have“ angesehen werden.

Der Weg zum IT-Grundschutz

Der Aufbau der für die Zertifizierung notwendigen Prozesse und Dokumentationen hat effektiv knapp 2 Jahre gedauert. Es wurde sehr viel Energie in die Definition von Prozessen, die Umsetzung der notwendigen Maßnahmen und der Erstellung der zugehörigen Dokumentation investiert.

 

Das Zertifikat wird jeweils für 3 Jahre vergeben, wobei zwischendurch jährlich ein Überwachungsaudit stattfindet. Der Aufwand für die Audits ist auf den ersten Blick erheblich, da für alle Objekte des Untersuchungsgegenstands (ca. 100) mehrere Bausteine mit jeweils 20-40 Maßnahmen überprüft werden müssen. Andererseits ist diese Überprüfung nicht nur für das Audit notwendig, sondern essentiell um Sicherheitsmaßnahmen für SysEleven durchzuführen. Der konkret mit dem Zertifizierungsvorgang verbundene Aufwand muss mit mehreren Personen-Wochen veranschlagt werden. Neben der Erreichung eines hohen Sicherheitsstandards, der sich durch die Tätigkeiten im Rahmen der Zertifizierung ergibt, geht auch eine Erhöhung der Reifegrades innerhalb der gesamten Organisation einher.

 

Eine wesentliche Außenwirkung ist, dass SysEleven als eine Firma wahrgenommen wird, die sich um die Themen Informationssicherheit und Sicherheitsmanagement aktiv kümmert. Übrigens: der Grundschutzkatalog ist rund 5000 Seiten stark.

Share: