ISO 27001-Zertifikat auf der Basis von IT-Grundschutz

Mit der Einführung des Standards ISO/IEC 27001 im Herbst 2005 hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) sein seit 2002 bestehendes Qualifizierungs- und Zertifizierungsschema an die Anforderungen des neuen internationalen Standards angepasst.

Seit 01.01.2006 verleiht das BSI ein ISO 27001-Zertifikat auf der Basis von IT-Grundschutz. Es vereint die prozessorientierten Anforderungen von ISO 27001:2005 mit den konkreten, tweilweise technisch angelegten Empfehlungen der IT-Grundschutz-Kataloge. Im Vergleich zum ursprünglichen Grundschutz-Vorgehen ist eine ergänzende Risikoanalyse hinzugekommen. Eine Methodik zur Durchführung einer solchen Risikoanalyse ist im BSI-Standard 100-3 beschrieben.

Das Zertifikat wird für eine Dauer von zwei Jahren vergeben. Danach muss eine Re-Zertifizierung erfolgen. Es kann von einer beliebigen Institution beantragt werden, die die Anforderungen des IT-Grundschutzes umgesetzt hat. Es empfiehlt sich daher, die Umsetzung der Anforderungen bereits unter den Maßstäben der Zertifizierung anzugehen. Um dies qualifiziert zu unterstützen hat INFODAS ein "Zwei-Auditoren-Modell" entwickelt, bei dem ein Auditor den IT-Verbund vorbereitet und ein zweiter das Zertifizierungs-Audit durchführt. Dies ist mit dem Unabhängigkeitsgrundsatz des Prüfauditors vereinbar; die Vorgehensweise wird vom BSI ausdrücklich begrüsst.

INFODAS verfügt über zwei ISO 27001 (Lead) Auditoren, die für ISO 27001 Audits auf der Basis von IT-Grundschutz berechtigt sind. Ihre Leistungsfähigkeit hat INFODAS in der Durchführung der beiden ersten Zertifizierungen dieser Art - unmittelbar nach Einführung des neuen Prüfschemas im Frühjahr 2006 - bereits unter Beweis stellen können.