Das Zertifikat nutzen Unternehmen und Behörden, um ihre IT-Sicherheit transparent zu machen.
Da der IT-Grundschutz sich mittlerweile zu einer Quasi-Norm für IT-Sicherheit entwickelt hat, ist das entsprechende Handbuch einschließlich der neuen Standards inzwischen zu einem allgemein anerkannten Kriterienwerk geworden.
Kosten und Aufwand für den Erwerb eines IT-Grundschutz-Zertifikats sind dem BSI zufolge vergleichsweise gering. Unter Umständen kann es allerdings für ein Unternehmen oder eine Behörde recht aufwändig sein, die Maßnahmenempfehlungen der IT-Grundschutz-Kataloge vollständig umzusetzen.
Auditor-Testate statt Zertifikat
Diese Einrichtungen können zwei Vorstufen des IT-Grundschutz-Zertifikats erlangen, die Auditor-Testate "Einstiegsstufe" und "Aufbaustufe".
Das Auditor-Testat "Einstiegsstufe" erhalten Firmen und Behörden, wenn sie die unabdingbaren Standardsicherheitsmaßnahmen des IT-Grundschutzes umgesetzt haben. Das sind alle Vorgaben der Stufe A im Handbuch.
Das Auditor-Testat "Aufbaustufe" erhalten sie nach Umsetzung der wichtigsten Standardsicherheitsmaßnahmen. Das sind alle Maßnahmen der Stufen A und B des Handbuchs.
Für beide Qualifizierungsstufen ist eine Prüfung durch einen externen Auditor erforderlich. Nach der Erstellung eines Audit-Reports erteilt ein vom BSI lizensierter Auditor das entsprechende Testat.
Die Zertifizierungsstelle prüft die Audit-Reporte von Testaten nicht, kann sie sich aber für Rückfragen vorlegen lassen. Die Testate sind zwei Jahre gültig und können, weil sie Vorstufen zum Zertifikat sind, nicht verlängert werden. Eine Re-Qualifizierung ist nur auf einer höheren Stufe möglich.
Grundlage für die Vergabe eines IT-Grundschutz-Zertifikats ist ebenfalls die Durchführung eines Audits durch einen externen, beim BSI lizenzierten Auditor. Der Audit-Report wird der Zertifizierungsstelle vorgelegt, die über die Vergabe des IT-Grundschutz-Zertifikats entscheidet.
Kriterienwerke des Verfahrens sind neben der Norm ISO 27001 unter anderem die IT-Grundschutz-Kataloge des BSI.
Vorarbeiten
Unternehmen und Behörden, die ein Zertifikat erlangen wollen, sollten vorab folgende Vorarbeiten leisten:
- Informationen des BSI zum Qualifizierungs- und Zertifizierungsschema für IT-Grundschutz lesen
- Prüfen, ob die Bemühungen um IT-Sicherheit anhand eines IT-Grundschutz-Zertifikats oder Auditor-Testats transparent gemacht werden sollen
- Prüfen, ob das IT-Sicherheits-Management und der IT-Sicherheitszustand die entsprechenden Voraussetzungen erfüllen
Neben der Herausgabe des Grundschutzhandbuches baut das BSI derzeit eine Schriftenreihe zu verschiedenen Aspekten der IT-Security auf. Darin sind inzwischen folgende BSI-Standards zum Thema IT-Sicherheits-Management erschienen:
BSI-Standard 100-1: Managementsysteme für Informationssicherheit (ISMS),
BSI-Standard 100-2: Vorgehensweise nach IT-Grundschutz,
BSI-Standard 100-3: Risikoanalyse auf der Basis von IT-Grundschutz.