/

Zertifizierung im IT-Grund­schutz

Vertrauen ist gut, eine Zertifizierung nach ISO 27001 auf der Basis von IT-Grund­schutz ist besser

In vielen Beiträgen wird wiederholt empfohlen, einen Prüfung der Informationssicherheit und des ISMS von internen oder externen Personen prüfen zu lassen. Die Königsdisziplin hierbei heißt Zertifizierung. Ein solche Zertifizierung bedeutet auf der einen Seite einen gewissen Aufwand, andererseits ist ein Zertifikat mit vielen Vorteilen verbunden.

Die Zertifizierung

Eine Zertifizierung ist eine Bewertung der Einhaltung bestimmter Anforderungen, kurz der Konformität. Im Rahmen des BSI Grundschutzes betrachten wir die (Unternehmens)Zertifizierung nach ISO 27001 auf der Basis von IT-Grundschutz. Diese Zertifizierung wird als Ergebis einer Überprüfung durch einen vom BSI zertifizierten ISO 27001-Grundschutz-Auditor erteilt. Die aktuelle Liste der Auditoren ist hier [LINK] aufgeführt,

Das Zertifikat ist auch der Nachweis dafür, das die Organisation Informationsssicherheit lebt. Für die eigenen Mitarbeiter, aber auch für externe wie Kunden oder Dienstleistungen wird dieses Bewußtsein und damit ein gewissen Qualitätsverständnis bzw. Anspruchsdenken kommuniziert. Hiermit sind wir bei den Vor- und Nachteilen einer solchen Zertifizierung.

Nachteile einer Zertifizierung

Betrachten wir den Ablauf. Die Organisation wird auf die Zertifizierung vorbereitet, ein Auditor wird bestellt und beim BSI die Zertifizierung beantragt, dann erfolgt die eigentliche Prüfung. Und in der Regel gibt es innerhalb einer gewissen Frist Abweichungen vom Standard zu korrigieren. Nach Erhalt des Zertifikats beginnt die Prozedur nach drei jahren erneut.

Die Nachteile sind offensichtlich. Es entstehen hohe Aufwände und Kosten, die zusätzlich zur täglichen Arbeit der Mitarbeiter entstehen. Der Auditor und die Zertifizierung verursachen Kosten, die gegenüber den internen verursachten Kosten eher gering sind. Um das Zertifikat in der Zukunft auch zu erhalten, bedarf es regelmäßiger Wiederholungen der Zertifizierung mit erneuten Kosten.

Aber lohnt sich der ganze Stress und Ärger? Die Nachteile sollten daher den Vorteilen gegenübergestellt werden.

Mit der Zertifizierung auf der Sonnenseite

Ein Zertifikat ist in erster Linie ein Nachweis zu herzeigen, also nicht für die Schublade im Archiv. Nach Außen kann gezeigt werden, dass die Organisation das Thema Informationssicherheit ernst nimmt. Vielleicht gibt es gesetzliche Vorgaben, wie z.B. das IT-Sicherheitsgesetz, oder die Forderung eines Kunden, dass die Organisation über eine Zertifizierung verfügt und diese pflegt.

Gegenüber Geschäftspartnern kann ein Zertifikat einen Wettbewerbsvorteil gegenüber Kunden und Geschäftspartnern sein. Mit wem würden sie zusammenarbeiten, mit einem "sicheren" oder "nicht-sicheren" Partner. Sicherheit ist ein wichtiges Qualitätsmerkmal und damit ein Wettbewerbsvorteil auf dem Markt.

Heutzutage arbeiten viele Unternehmen in einem Netzwerk von Lieferanten udn Dienstleistern. Hier besteht die Erwartung, das ein Mindestmaß bzw. gesamtes Verständnis an Sicherheit erfüllt. Will die Organisation in diesem Netzwerk teilhaben bedarf es oft verschiedener Zertifizierung aus den betreffenden Bereichen. Damit wird eine Risikominimierung im Netzwerk erreicht.

Kosten von außen

Wir schon erwähnt, ist der Nachweis der Erfüllung des BSI-Standards nach ISO27001 auch mit externen Kosten verbunden. Für einen Zertifizierungsaudit bedarf es eines Auditors. Die Kosten für die Zertifizierung hängen von der Anzahl der Personentage für diese Aufgabe ab, also von von 10 Arbeitstagen für kleinere Unternehmen bis zu ein paar Dutzend Arbeitstage für größere Organisationen. Die Kosten für einen Personentag sind je nach Auditor unterschiedlich. daher sollten Sie, um die tatsächlichen Kosten nicht zu unterschätzen, im Vorfeld die Gesamtkosten, also externe und interne, ermitteln. Dann sollten der Leitungsebene Kosten und Nutzen präsentiert werden. DAmit vermeiden Sie ein "böse Überraschung" am Ende des Zertifizierungsprozess. Warum hat die Zertifizierung so eine merkwürdige Bezeichnung?

In der Regel erfolgt eine Zertifizierung nach einem Standard wie z.B. ISO 9001 Qualitätsmanagement oder die hier erwähnte ISO 27001 Informatonssicherheit. Es gibt ein Vorgehen bei der Zertifizierung, die je nach Zertifizierungsstelle in Details abweichen kann. Für eine bessere Einheitlichkeit der Zertifizierung , hat das BSi ein eigenes Zertifizierungsschema entwickelt. In diesem Schema werden die Anforderungen an das Informationsmanagementsystem nach ISO/IEC 27001 berücksichtigt und die Prüfkataloge das IT-Grundschutz-Kompendium sowie die BSI-Standards 200-x verwendet. Darum trägt diese Zertifizierung den Namen ISO 27001-Zertifizierung auf Basis von IT-Grundschutz.

Kleine Anmerkung noch: Die Zertifizierung ist nur für eine Standard-Absicherung und Kern-Absicherung möglich, nicht für eine Basis-Absicherung. Sind Sie frisch gestartet mit dem BSI IT-Grundschutz, dann haben Sie noch einiges vor bis zur Zertifizierung.

Mehr Wissen

Auf den Seiten des BSI [LINK] gibt es weitere Infos zum Thema Zertifizierung und wie eine Qualifizierung als ISO 27001-Auditor auf der Basis von IT-Grundschutz möglich ist. Empfehlenswert sind auch die Ausführungen zum Zertifizierungsschema, also wie eine Zertifizierung abläuft, welche Unterlagen benötigt werden usw. Diese Unterlagen sollten studiert werden, bevor ein Auditor beauftragt und eine Zertifizierung beantragt wird. Denn wenn die Voraussetzungen an das Informationssicherheitsmanagement und der Informationssicherheitszustand nicht erfüllt werden, entstehen nur Kosten ohne einen geringen Vorteil. Gerne können wir Sie hierzu beraten.