ISO 27001 auf Basis IT-Grundschutz

Eine Zertifizierung nach ISO 27001 auf Basis des IT-Grundschutzes durch das BSI bestätigt, dass Sie alle organisatorischen, infrastrukturellen und technischen Maßnahmen der Informationssicherheit für einen definierten Geltungsbereich oder für Ihr gesamtes Unternehmen getroffen haben. Hierfür ist notwendig, dass ein vom BSI lizenzierter IT-Grundschutz bzw. ISO 27001 Auditor die Umsetzung der Maßnahmen prüft (Zertifizierungsaudit) und einen Prüfbericht erstellt. Sollte dieser die Feststellung treffen, dass alle relevanten Maßnahmen umgesetzt sind, kann der Bericht an das BSI gesendet und eine Zertifizierung beantragt werden. Das BSI erteilt dann ein ISO 27001 Zertifikat auf Basis von IT-Grundschutz. Ein solches Zertifikat ist international anerkannt und aussagekräftiger als ein reines ISO 27001 Zertifikat, da in diesem Fall – zusätzlich zu den allgemeinen Anforderungen der ISO / IEC 27001 auch – die konkreten Anforderungen des Grundschutzes eingehalten werden müssen.

Die erfahrenen IT-Experten der activeMind AG führen Sie zur erfolgreichen Zertifizierung nach ISO 27001 aus Basis IT-Grundschutz. Alternativ stehen wir Ihnen als Auditor zur Verfügung. Nehmen Sie jetzt Kontakt mit uns auf.

Vorbereitung der BSI-Grundschutz Zertifizierung

Zunächst wird – vergleichbar einer IT-Strukturanalyse gemäß IT-Grundschutzhandbuch – in einem Datenschutz- respektive Datensicherheitskonzept der zu betrachtende „Gegenstand“ spezifiziert. Dies kann auf Dokumentenlage oder durch Auskünfte von Mitarbeitern erfolgen und sollte durch einen Sicherheits-Check vervollständigt werden. Dabei sind folgende Themenkomplexe typischerweise zu berücksichtigen:
Themenkomplexe des Datensicherheitskonzeptes

Organisation und Regelungen
Dieser erste Abschnitt soll einen Einblick in die Organisationsstruktur und Abteilungen sowie die Aufgaben des Kunden vermitteln, um den betreffenden „Gegenstand“ kennen zu lernen. Zudem sind typische zu beantwortende Fragen in diesem Kontext: Existiert eine Sicherheitsleitlinie und daraus abgeleitete Sicherheitsrichtlinien? Gibt es dokumentierte Sicherheitsziele? Sind die „Werte“ der Firma definiert worden? Sind mögliche Angriffe thematisiert worden? Gibt es einzuhaltende gesetzliche Regelungen, Vorschriften, Verpflichtungen? Gibt es Richtlinien im Betrieb – etwa zur Internet- oder e-Mail-Nutzung?
IT-Architektur
Im Fokus dieses Themenkomplexes steht der IT-Verbund. Dazu sollten erfasst werden:
Netzplan
IT-Struktur: Client, Server, Netzdrucker, Hubs, Switch, Router, Laptop
Verbindungen: Ethernet, Backbone-Technik
Außenverbindungen: Internet- und Remote-Anbindung

Dies beinhaltet nach einem Überblick eine Vertiefung in technische Details: Angaben zu IP-Adressen, zur Firewall, zu den Servern und den Clients, dem technischen Equipment für das Backup oder ein Redundanzsystem bis hin zu Details für ausgewählte Systeme.
Anwendungen
Im Vordergrund werden hier die benutzten Anwendungen samt Datenarten und Zugriffsberechtigungen identifiziert.

Personal sowie Datenschutz- und Sicherheitsmanagement
Der Bereich „Personal“ beinhaltet zunächst die Ist-Aufnahme über die Administratoren und Benutzer der Systeme und thematisiert dann den Umgang mit den Systemen, beispielsweise:
Administration,
Revision,
Umgang mit Sicherheitsvorfällen,
Sensibilisierung oder
Umgang mit Passwörtern.

In diesem Kontext werden Zugriffsrechte und Verantwortlichkeiten berücksichtigt sowie der datenschutzkonforme Umgang mit Personal-, Finanz- oder Kundendaten.
Gebäude und Räume
Unter diesem Stichpunkt wird die Sicherheit von Gebäuden und Räumen diskutiert: Gibt es Maßnahmen, um Gefährdungen – wie höherer Gewalt, organisatorischen Mängel, technischem Versagen oder vorsätzlichen Handlungen – entgegenzuwirken? Gibt es eine überwachte Schließanlage? Ist eine Alarmanlage installiert? Ist die Stromversorgung unterbrechungsfrei? Sind Anforderungen hinsichtlich Brandschutz, Diebstahl und Klimatisierung umgesetzt?

Analyse der Ist-Situation und deren Verbesserung

Bei der Analyse der Ist-Situation werden insbesondere folgende Fragen thematisiert:

Genügen die im Datenschutzkonzept genannten Aspekten zum Umgang mit personenbezogenen Daten den gesetzlichen Anforderungen?
Sind die Sicherheitsziele adäquat gewählt?
Sind die im Datensicherheitskonzept beschriebenen Maßnahmen zur Sicherheit der IT-Infrastruktur ausreichend?
Ist die Sicherheit des Internetzugangs und der Server gewährleistet?

Zur Durchführung einer Analyse werden typischerweise Standard-Informationen genutzt, wie beispielsweise ausgewählte Maßnahmen aus dem IT-Grundschutzhandbuch. Als Fazit einer Analyse werden üblicherweise Verbesserungsvorschläge formuliert und mit den Auftraggebern besprochen, so dass daraus resultierend die bestehenden Datenschutz- und/oder Datensicherheitskonzepte geändert werden können.
Technische Unterstützung bei der Umsetzung der BSI Zertifizierung

Die Grundschutzkataloge des BSI sehen für eine erfolgreiche Zertifizierung nach ISO 27001 auf Basis IT-Grundschutz die Umsetzung einer sehr hohen Zahl ganz konkreter Maßnahmenbündel vor. Diese Umsetzung ist in den Audits zu Zertifizierung, Überwachung und Rezertifizierung zwingend zu überprüfen. Die korrekte Implementierung relevanter Maßnahmen ist damit unabdingbar. activeMind kann Sie hierbei unterstützen:

Wir helfen Ihnen dabei, die tatsächlich relevanten Maßnahmen aus dem Grundschutzkatalog zu bestimmen.
Wir greifen Ihnen bei der erforderlichen Begründung von Ausnahmen bei der Umsetzung unter die Arme.
Bei der praktischen Umsetzung können wir Sie ebenfalls unterstützen. Wir helfen Ihnen, hier so effizient und effektiv wie möglich vorzugehen und bewährte Lösungen zu verwenden.
Wir bieten Ihnen die Möglichkeit, den Umsetzungsgrad von Maßnahmen direkt durch uns überprüfen zu lassen.
Wir helfen Ihnen dabei, geeignete Monitoringsysteme aufzubauen, die Sie in die Lage versetzen, Ihre Prozesse so automatisiert wie möglich zu überwachen und die geforderten Nachweise hierfür zu erbringen.

Unsere Expertise für Ihr Unternehmen

Die activeMind AG erstellt, dokumentiert, analysiert, optimiert und auditiert für Unternehmen und öffentliche Stellen Datenschutz- und Datensicherheitskonzepte. Unser Vorstand Klaus Foitzick ist anerkannter Auditor des BSI und hat mehrfach Unternehmen als Auditor im Rahmen der Zertifizierungsprüfung geprüft. Die Industrie und Handelkammer München, die Steuerberaterkammer Bayern, und viele weitere Institutionen greifen auf unsere Experten zu.

Standards für die Erstellung von Datenschutz- und Datensicherheitskonzepten, nach denen auch eine Auditierung mit anschließender Zertifizierung möglich ist, haben sich bereits etabliert – z. B. das IT-Grundschutzhandbuch des BSI oder die ISO/IEC 27001. Diese Standards sind exzellente und bewährte Werkzeuge, auf deren Grundlage die activeMind AG ihren Kunden die Erstellung, Beratung und Prüfung von Datenschutz- und Datensicherheitskonzepten anbietet. Wir haben die Auditfragen ISO 27001 für Sie verständlich aufbereitet.

Gleichwohl fordert der Markt, Datenschutz- und Datensicherheitskonzepte zu erstellen, um das Sicherheitsniveau der eingesetzten IT-Landschaft und den Umgang mit personenbezogenen Daten praktisch zu verbessern, die Transparenz der Verfahren zu erhöhen und die rechtlichen Anforderungen zu dokumentieren, ohne die manchmal etwas umfangreich erscheinenden Standards bzw. Methoden vollständig erfüllen zu müssen.

Die activeMind AG hat daher eine Methodik entwickelt, die anerkannte Standards nutzt, aber sich zunächst auf die wesentlichen Aspekte der IT-Sicherheit beschränkt. Sofern ein Kunde ein zertifiziertes Sicherheitskonzept auf Basis des IT-Grundschutzhandbuchs oder der ISO 27001-Norm wünscht, kann diese Methode jederzeit um normative Themen erweitert werden.

Unsere Experten begleiten Sie bei der Vorbereitung für eine BSI-Grundschutz Zertifizierung oder stehen Ihnen als Auditor zur Verfügung. Gerne kommen wir mit Ihnen ins Gespräch!