Voortaan kunnen ondernemingen en overheden die een holistische aanpak van IT-beveiliging willen, de basiszekerheid van IT-Grundschutz in het kader van een testcertificaat laten aantonen. Het BSI is de uitgever van de norm. In vergelijking met ISO 27001 is de BSI-norm duidelijk technischer.
Bedrijven en overheden hebben nu de mogelijkheid om TÜV IT het bewijs te laten leveren van de basisveiligheid van de IT-Grundschutz-methodologie in de vorm van een certificaat. De uitgever van de norm is het Federaal Bureau voor Informatiebeveiliging (BSI), dat nu dergelijke testcertificaten toestaat. Bij een audit controleert TÜV Informationstechnik in hoeverre de basisbeveiliging van IT-Grundschutz is geïmplementeerd.
“Bewijs van basisveiligheid biedt onze klanten een grote toegevoegde waarde. De daarmee gepaard gaande inspanningen zullen daarentegen verhoudingsgewijs weinig tijd en personeel kosten”, zegt Tobias Kippert, plaatsvervangend afdelingshoofd Business Security & Privacy en BSI-erkend auditteamleider voor basisbeveiliging bij TÜV IT. “Dit maakt de audit geschikt voor middelgrote bedrijven of kleinere gemeenten die een holistische benadering van informatiebeveiliging willen hanteren.” TÜV IT heeft talrijke door BSI erkende auditteamleiders voor basis IT-beveiliging die de norm goed kennen, zei hij.
Technischer dan de ISO-norm
De aanpak gaat verder dan ISO 27001. Het verschil is dat IT-Grundschutz meer technisch is en minder gericht op bedrijfsprocessen. Het legt in detail uit hoe organisaties gevaren kunnen beperken en vermijden. Zo biedt het BSI een best-practice benadering voor het opzetten van een informatiebeveiligingsmanagementsysteem (ISMS).
De testdienstverlener biedt het certificaat aan als een eerste stap op weg naar standaard beveiliging volgens IT-Grundschutz. Deze is in de eerste plaats gericht op klanten die willen beginnen met het opzetten van een ISMS op basis van het IT-Grundschutz compendium.