ISO 27001 / IT-Grundschutz

IT-Grundschutz



Seit Juni 2007 bin ich Auditteamleiter für ISO 27001-Audits auf Basis IT-Grundschutz vom Bundesamt für Sicherheit in der Informationstechnik zertifiziert (letzte Lizenz-Nummer BSI-IGL-0150-2015).

Dieser Abschnitt ist veraltet und wird überarbeitet

Der IT-Grundschutz des BSI definiert den Aufbau eines ISMS gemäss dem „Plan-Do-Check-Act“ Zyklus. Er liefert ausserdem einen modularen Ansatz, um alle organisatorischen, infrastrukturellen, personellen und technischen Komponenten zu modellieren, die zur Abwickung eines IT-gestützten Geschäftsprozesses notwendig sind (IT-Verbund). Anhand dieser Modellierung werden diesem IT-Verbund bereits vordefinierte Gefährdungen zu geordnet und gleichzeitig Massnahmen bestimmt, die zu deren Bekämpfung erforderlich sind.

Dieser Ansatz macht eine zeitaufwändige und fehlerträchtige Risikoanalyse mit der Betrachtung von Eintrittswahrscheinlichkeiten und Schadenshöhen überflüssig und implementiert eine Basissicherheit, die für die Befriedigung normaler Schutzbedarfsanforderungen genügt. Für hohe und sehr hohe Anforderungen bietet diese Basissicherheit eine solide Grundlage für weitergehende Analysen und zusätzliche Massnahmen.

Der Inhalt des IT-Grundschutzes ist in den folgenden Dokumenten niedergelegt:

  1. BSI Standard 100-1: Allgemeine Beschreibung des Ansatzes „ISO 27001 auf Basis IT-Grundschutz“
  2. BSI Standard 100-2: IT-Grundschutz Methodik (Zertifizierbar)
  3. BSI Standard 100-3: Risikoanalyse auf Basis IT-Grundschutz
  4. BSI Standard 100-4: Notfallvorsorge
  5. IT-Grundschutzkataloge: Bausteinkatalog zur Modellierung von IT-Verbünden, Gefährdungskatalog und Massnahmenkatalog.

Es ist möglich, das ISMS für einen IT-Verbund vor diesem Hintergrund auditieren und zertifizieren zu lassen. Das BSI bietet hierzu drei Stufen an und unterscheidet Massnahmen des Grundschutzkatalogs in drei Siegelstufen:

  1. Auditortestat Eingangsstufe: Bestätigung der Umsetzung der Massnahmen der Siegelstufe A.
  2. Auditortestat Ausbaustufe: Bestätigung der Umsetzung der Massnahmen der Siegelstufe A und B.
  3. Zertifikat“ISO 27001 auf Basis IT-Grundschutz“: Bestätigung der Umsetzung der Massnahmen der Siegelstufe A, B und C.

Das Audit wird immer durch einen unabhängigen Auditor durchgeführt, dieser legt die Prüfergebnisse in einem Auditreport nieder. Das BSI prüft und bestätigt in jedem Fall die Abgrenzung des IT-Verbunds, bei Zertifikaten zusätzlich den vollständigen Auditreport.