Gelebtes Informationssicherheits-Management

Im Rahmen eines Zertifizierungsprozesses bescheinigen wir den erfolgreichen Betrieb eines Informationssicherheits-Managementsystems auf Basis unseres Produkts "Sicherer IT-Betrieb".

Die getroffenen technischen und organisatorischen Maßnahmen zur Informationssicherheit orientieren sich an der aktuellen risikopolitischen Lage des Unternehmens und sollten daher ständig angepasst werden. Eine 100-prozentige Sicherheit zu gewährleisten ist jedoch nicht erreichbar und aus betriebswirtschaftlicher Sicht auch nicht sinnvoll. Aus diesem Grund sollte jedes Unternehmen über seine Risiken und Schwachstellen Klarheit besitzen und mit diesen einen ordentlichen Umgang pflegen. Der erste Schritt hierzu ist die Einführung eines Informationssicherheits-Managementsystems, beispielsweise auf Basis des praxiserprobten SIZ Produkts "Sicherer IT-Betrieb". Nach einer erfolgreichen Einführung muss dies anschließend im Unternehmen auch gelebt werden. Dies wird mit dem Zertifikat bescheinigt.

Das Zertifikat bestätigt ein funktionierendes und gelebtes Informationssicherheits-Managementsystems (ISMS) auf Basis des SIZ-Produkts „Sicherer IT-Betrieb“. Das Unternehmen verfügt zum Zeitpunkt des Zertifizierungs-Audits über ein geordnetes und etabliertes Verfahren für das Informationssicherheits-Management. Dieses beinhaltet u. a. :

• eine dokumentierte und verabschiedete Informationssicherheits-Leitlinie,
• eine Informationssicherheits-Organisation, die dokumentiert und in Kraft gesetzt ist,
• eine Übersicht über die IT-Infrastruktur mit Aussagen zum Schutzbedarf,
• eine Auflistung der identifizierten Schwachstellen und eine Darstellung des erzielten Sicherheitsniveau sowie
• einen Maßnahmenkatalog, der den Umgang mit den identifizierten Schwachstellen beschreibt.

Grundlage der Zertifizierung ist das Informationssicherheits-Managementsystem auf Basis des SIZ-Produkts „Sicherer IT-Betrieb“ (SITB) in der für das jeweilige Unternehmen gültigen Fassung. Das Veröffentlichungsdatum der verwendeten SITB-Version darf nicht älter als zwei Jahre sein. Für ältere Versionen können keine Zertifikate vergeben werden.

Die Zertifizierung erfolgt auf Basis der Ergebnisse des Prozessmodells zur Einführung des SITB und das Zertifizierungs-Audit muss durch einen Auditor des SIZ erfolgen. Der Auditor darf in den letzten 2 Jahren nicht in dem zu zertifizierenden Unternehmen im Umfeld des Sicheren IT-Betriebs beratend tätig gewesen sein.

Zertifiziert werden kann das gesamte Unternehmen im Sinne einer juristischen Person. Alternativ kann auch nur ein Teil des Unternehmens zertifiziert werden, wenn mit diesem Teil ein wesentliches Kerngeschäftsfeld des Unternehmens abgedeckt wird und die dazugehörige IT-Infrastruktur weitest gehend in sich abgeschlossen ist.

Schritt 1: Festlegung des Zertifizierungsgegenstands

Zertifiziert werden kann das ganze Unternehmen oder unter bestimmten Voraussetzungen nur ein Teil des Unternehmens.

Schritt 2: Zertifizierungs-Audit

Die Zertifizierung erfolgt nach dem vom SIZ veröffentlichten aktuellen „Prüfschema für Auditoren“. Bei gravierenden Mängeln wird der Zertifizierungsprozess sofort abgebrochen. Bei Mängeln, die kurzfristig behebbar sind, können maximal 2 Nachbesserungen eingeräumt werden.

Schritt 3: Erstellen des Audit-Reports

Der Auditor dokumentiert die Durchführung und die Ergebnisse des Zertifizierungs-Audits im Audit-Report.

Schritt 4: Zertifikatsvergabe

Bei erfolgreichem Gesamtvotum des Auditors und nach Prüfung des Audit-Reports durch die Zertifizierungsstelle des SIZ erfolgt die Vergabe des Zertifikats.