Das Zertifizierungsverfahren
Vor der Erteilung eines ISO 27001-Zertifikats auf der Basis von IT-Grundschutz durch das BSI ist ein Audit des betrachteten Informationsverbundes gemäß der aktuellen Fassung des Auditierungsschemas durchzuführen. Dieses Audit wird von Auditteamleitern durchgeführt, die in einem Personenzertifizierungsverfahren als Person ihre Fachkenntnisse im Bereich Informationssicherheit und IT-Grundschutz sowie ihre Befähigung zur Durchführung dieser Audits vorab ausreichend nachgewiesen haben und somit vom BSI zertifiziert wurden.
Grundlage des Zertifizierungsverfahrens bilden zum einen das Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSI-Gesetz) und zum anderen die ISO/IEC 27006, eine Norm für Stellen, die Audits und Zertifizierungen von Informationssicherheitsmanagementsystemen (ISMS) anbieten.
Um die Qualität der vom BSI zertifizierten Auditteamleiter zu gewährleisten, werden hohe Anforderungen an die Qualifikation dieses Personenkreises gestellt. Dazu gehören unter anderem ein Studienabschluss oder eine vergleichbare Ausbildung, fünf Jahre Berufserfahrung sowie eine Ausbildung zum Auditteamleiter und eine Schulung über IT-Grundschutz nach BSI Standard 200.
Rezertifizierung als Auditteamleiter
Für die Rezertifizierung als Auditteamleiter müssen verschiedene Tätigkeiten nachgewiesen werden. Dabei ist es zwingend erforderlich, dass zu diesen Tätigkeiten mindestens zwei vom Antragsteller als Auditteamleiter durchgeführte Audits für ISO 27001-Zertifikate gehören.
Der zertifizierte Auditteamleiter verpflichtet sich bei seinen Tätigkeiten im Programm der Zertifizierung zudem, die Vorgaben der Personenzertifizierungsstelle sowie die in dem betreffenden Prüfschema festgelegte Vorgehensweise zu beachten und einzuhalten.
Darüber hinaus erklärt er, die Vertraulichkeit der ihm bei seinen Tätigkeiten zur Kenntnis gelangten Informationen zu wahren sowie bei Prüftätigkeiten Bewertungen objektiv und unabhängig durchzuführen und, falls dies nicht gewährleistet werden könnte, auf das Audit zu verzichten. Bei der Durchführung von ISO 27001-Audits auf der Basis von IT-Grundschutz stellt der zertifizierte Auditteamleiter sicher, dass er dem BSI jederzeit auf Verlangen umfassend Auskunft über Ablauf und Inhalt der Audits geben kann.
Eine Liste der zertifizierten ISO 27001-Auditoren für Audits auf der Basis von IT-Grundschutz findet sich hier:
Was ist IT-Grundschutz?
Der IT-Grundschutz hilft dabei, das Niveau der Informationssicherheit in einer Institution anzuheben und aufrechtzuerhalten und ist außerdem der Standard zum Aufbau eines ISMS. Mit einem ISO 27001-Zertifikat auf der Basis des IT-Grundschutzes kann eine Institution belegen, dass umgesetzte Maßnahmen internationalen Standards entsprechen und somit zusätzliches Vertrauen schaffen.