Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat nach dem BSI-Gesetz die Aufgabe, informationstechnische Produkte, Komponenten sowie Systeme zu zertifizieren. Die Prüfungen für diese Zertifizierungen führen vom BSI anerkannte Prüfstellen oder zertifizierte Personen durch.
Zudem kann das BSI IT-Sicherheitsdienstleister zertifizieren. Die IABG ist kürzlich als eine von deutschlandweit nur zehn vom BSI akkreditierten Prüfstellen vom BSI erneut rezertifiziert worden.
Eine Anerkennung als Prüfstelle oder Zertifizierung als IT-Sicherheitsdienstleister erfolgt auf Antrag des Betreibers einer Stelle beim BSI. Grundvoraussetzung ist die Erfüllung der Anforderungen der DIN EN ISO/IEC 17025:2005. Wichtig ist ein wirksames Qualitätsmanagementsystem (QMS), Fachkompetenz für die beantragten Geltungsbereiche und ein effektives Managementsystem für die Informationssicherheit (ISMS). Die erforderliche Fachkompetenz wird durch mindestens zwei zertifizierte IS-Revisoren nachgewiesen. Das ISMS ist entweder nach ISO 27001 auf Basis IT-Grundschutz zu zertifizieren oder es wird eine IS-Kurzrevision durch das BSI erfolgreich absolviert. Letzteres gilt auch für die Zertifizierte Stelle der IABG. Die Prüfung umfasste alle Schichten des IT-Grundschutzes:
- Übergeordnete Aspekte des IT-Grundschutzes (z.B. Sicherheitsleitlinie, Sicherheitsmanagement, Behandlung von Sicherheitsvorfällen)
- Infrastrukturaspekte des IT-Grundschutzes (Ein- und Ausgänge, Brandmelde- und Gefahrenmeldeanlage, Pforte bzw. Sicherheitsleitstelle, Serverräume, Verteilerräume, Netzersatzanlage, USV, Büros)
- Netze, Netzkomponenten, Netz- und Systemmanagement, Sicherheitsgateway
- Server- und Clientsysteme
- Anwendungen (z.B. Email, Active Directory)
Die Systembegutachtung des QMS wurde von zwei Mitarbeitern des BSI vorgenommen.
Unique Selling Point (USP)
Mit der Zertifizierung der IABG als IT-Sicherheitsdienstleister bestätigt das BSI, dass die IABG die beschriebenen Anforderungen erfüllt. Insbesondere im Behördenbereich wird bei bestimmten Tätigkeiten oder Ausschreibungen die Zertifizierung als IT-Sicherheitsdienstleister für einen besonderen Geltungsbereich vorausgesetzt.
Die Zertifizierung als IT-Sicherheitsdienstleister stellt aber auch auf dem privatwirtschaftlichen Sektor eine Empfehlung dar, die der IABG Wettbewerbsvorteile verschaffen kann. Sie ist häufig Voraussetzung für die Teilnahme an Ausschreibungen im Sicherheitsbereich, wie jüngst bei der erfolgreich akquirierten Fortführung der Arbeiten für die bayerischen Integrierten Leitstellen beim Bayerischen Staatsministerium des Innern, für Bau und Verkehr (StMI).
Projekte
Im Geltungsbereich Zertifizierter Sicherheitsdienstleister für IS-Beratung und IS-Revision wurden bzw. werden von der IABG zahlreiche Projekte durchgeführt, z.B.
- IS-Revision für alle Integrierten Leitstellen (ILS) des Bayerischen Roten Kreuzes (BRK), für ein Landesnetz sowie für eine Bundesanstalt im Finanzbereich
- Zertifizierungsaudits bei der ILS München sowie bei Firmen, einer Bundesbehörde im Sicherheitsbereich, mehreren Energieversorgern und in einem Hochsicherheitsrechenzentrum
- Beratungsleistungen für Behörden und Unternehmen (z.B. Leitstellen und Energieversorger).
