/

Drum prüfe, wer sich bindet

Ob der Aufbau und Betrieb eines ISMS erfolgreich war, sollte geprüft und dann zertifiziert werden.

Der Aufbau und Betrieb eines ISMS ist nicht einfach. Darum ist es wichtig, dass fertige ISMS auf Herz und Nieren zu prüfen. Auch keine einfache Aufgabe. Hierbei hilft die Prüfung und Zertifizierung von externen Personen.

Zertifizierung des ISMS
Wenn diese erfolgreich durchgeführt wurde, bietet es sich an, dies auch nach innen und außen zu dokumentieren und die erfolgreichen Bemühungen um Informationssicherheit transparent zu machen. Dies kann sowohl ge­genüber Kunden als auch gegenüber Geschäftspartnern als Qualitätsmerkmal dienen und somit durchaus auch zu einem Wettbewerbsvorteil führen. Aber auch Behörden können diesen Mechanis­mus nutzen, um das Vertrauen der Bürger in die Sicherheit ihrer Geschäftsprozesse und die zugehö­rige IT – insbesondere im Bereich E-Government – zu verbessern. Ein weiterer Grund, um eine Zerti­fizierung anzustreben, kann sich aus Compliance-Gründen ergeben, also um nachzuweisen, dass einschlägige Gesetze oder vertragliche Anforderungen erfüllt werden. Darüber hinaus ergibt sich häufig ein „passiver“ Nutzen, da andere Institutionen ein ISMS-Zertifikat heranziehen können, um sich über den Sicherheitszustand bei potenziellen Partnern zu informieren.
Die ISO/IEC 27001 ist die grundlegende Norm, auf deren Basis ein ISMS zertifiziert werden kann. Sie sieht ein zweistufiges Zertifizierungsverfahren vor: Hierbei werden die Zertifikate durch unabhängige Zertifizierungsstellen erteilt. Der Erteilung eines Zertifikates geht eine Überprüfung durch einen qua­lifizierten Auditor voraus.
Damit die Ergebnisse der Zertifizierungsaudits wiederholbar und reproduzierbar sind, werden erfah­rene und geschulte Auditoren benötigt. Daher müssen Auditoren nachweisen, dass sie über das er­forderliche Fachwissen verfügen und das vorgegebene Schema kennen und einhalten. All dies erfolgt auf der Basis weiterer ISO-Normen, um die hohe Qualität und Nachvollziehbarkeit von Zertifikaten sicherzustellen.
Die Standard- und die Kern-Absicherung des IT-Grundschutzes bilden die Anforderungen der ISO/IEC 27001 ab. Daher besteht auch die Möglichkeit, sich die erfolgreiche Umsetzung des IT-Grundschutzes mit dem Aufbau eines ISMS durch das BSI zertifizieren zu lassen. Das BSI hat ein Zertifizierungsschema
für Informationssicherheit entwickelt, dass die Anforderungen an Managementsysteme für die Infor­mationssicherheit aus der ISO/IEC 27001 berücksichtigt. Das IT-Grundschutz-Kompendium bildet den Prüfkatalog für die Zertifizierung nach ISO/IEC 27001. Diese wird deshalb als ISO 27001-Zertifizierung
auf der Basis des IT-Grundschutzes bezeichnet. Das IT-Grundschutz-Kompendium als Prüfkatalog wird vom BSI (im Gegensatz zu anderen Zertifizierungsstellen) kostenfrei zur Verfügung gestellt.
Grundlage für die Vergabe eines ISO 27001-Zertifikats auf der Basis des IT-Grundschutzes ist die Durchführung eines Audits durch einen externen, beim BSI zertifizierten Auditor. Das Ergebnis des Audits ist ein Auditbericht, der der Zertifizierungsstelle vorgelegt wird, die dann wiederum über die Vergabe des ISO 27001-Zertifikats auf der Basis des IT-Grundschutzes entscheidet.
Weitere Informationen zur Zertifizierung nach ISO/IEC 27001 finden sich auf der Website des BSI (siehe [ZERT]).