Zertifizierungsschema für Auditteamleiter

Transkript

1 Zertifizierungsschema für Auditteamleiter für ISO Audits auf der Basis von IT-Grundschutz Stand: 21. Oktober 2009 Herausgeber Bundesamt für Sicherheit in der Informationstechnik Redaktion: mailto:

2 Änderungsverzeichnis Datum Name Änderung BSI 1. Version BSI Überarbeitung Kapitel BSI Überarbeitung Kapitel 2.10 und diverser Formulierungen Kapitel 2.7 datenschutzrechtliche Bemerkungen zur Veröffentlichung der Privatadresse eingefügt. Diverse Formulierungen konkretisiert BSI Formulierungen überarbeitet BSI Kleine Änderungen BSI Umstellung des Schemas auf die Anforderungen von EA-07/03 für eine ISO Zertifizierung BSI Kommentare von III2.3 eingearbeitet, Audit- Projektnachweise der letzten 3 Jahre (vorher 5 Jahre) geändert BSI Aktualisierung zur Erfüllung der ISO und Anforderungen BSI Tippfehler beseitigt BSI Aktualisierung der Anforderungen der Auditnachweise sowie ersetzen des Begriffs Lizenzierung durch den Begriff Zertifizierung und Konkretisierung diverser Formulierungen BSI Aktualisierung und Konkretisierung der allgemeinen Anforderungen sowie der Fachkundenachweise BSI Konkretisierung der allgemeinen Anforderungen sowie der Fachkundenachweise sowie Änderung bei der Auditorenüberwachung Zertifizierungsschema Seite 2

3 Inhaltsverzeichnis 1 Grundsätzliches 4 2 Personenzertifizierungsverfahren Antragstellung Fachkundenachweise und deren Prüfung Schulung Auditoren-Prüfung Vertragsschluss Erteilung des Zertifikats Erfahrungsaustausch Auditoren-Überwachung durch das BSI Re-Zertifizierung Zertifikatsentzug 10 3 Inhalt der Fachkundenachweise 12 4 Definitionen und Quellen Begriffsdefinitionen Literaturverzeichnis 15 5 Anlage I 16 Zertifizierungsschema Seite 3

4 1 Grundsätzliches Vor der Erteilung eines ISO Zertifikats auf der Basis von IT- Grundschutz ist ein Audit 1 des betrachteten Informationsverbundes gemäß der aktuellen Fassung von Zertifizierung nach ISO auf der Basis von IT- Grundschutz - Prüfschema für ISO Audits ([1], im folgenden Prüfschema für ISO Audits genannt) durchzuführen. Dieses Audit wird von Auditoren 2 durchgeführt, die in einem Personenzertifizierungsverfahren als Person ihre Fachkenntnisse im Bereich Informationssicherheit und IT-Grundschutz sowie ihre Befähigung zur Durchführung dieser Audits vorab ausreichend nachgewiesen haben und vom BSI zertifiziert wurden. Grundlage des Zertifizierungsverfahrens bilden hierbei das Errichtungsgesetz des Bundesamtes für Sicherheit in der Informationstechnik[2], ein entsprechender Erlass des Bundesministeriums des Innern vom 06. Februar 2001 sowie die ISO/IEC 27006, eine Norm für Stellen, die Audit und Zertifizierung von Informationssicherheits-Managementsystemen (ISMS) bereitstellen[3]. 1 Im Rahmen der umfasst der Begriff Audit stets die Phase 1 (Dokumentenprüfung) und Phase 2 (Vor-Ort-Prüfung). 2 Aus Gründen der Lesbarkeit wird im Folgenden nur die männliche Form verwendet. Selbstverständlich sind damit grundsätzlich Frauen und Männer gleichermaßen gemeint. Zertifizierungsschema Seite 4

5 2 Personenzertifizierungsverfahren 2.1 Antragstellung Bei dem angebotenen Zertifizierungsverfahren handelt es sich um eine Personenzertifizierung, die ausschließlich natürlichen Personen vorbehalten ist. Die Teilnahme am Zertifizierungsverfahren ist gebührenpflichtig. Die Anträge werden in der Reihenfolge des Eingangs bearbeitet. Der Antragsteller erklärt sich mit dem Antrag bereit, die Zertifizierungsgebühr gemäß BSI- Kostenverordnung[4] zu entrichten. Diese wird nach Zulassung zum Zertifizierungsverfahren (d.h. erfolgreicher Fachkundeprüfung, vor Schulungsteilnahme) fällig und umfasst die Gebühren für die Bearbeitung und Prüfung des Antrags und der Fachkundenachweise, die Schulung und Prüfung, die Überwachung und die jährlichen Auditorentreffen. Die Gebühren sind auch dann zu entrichten, wenn das Zertifikat wegen nicht bestandener Prüfung oder Täuschungsversuch während der Prüfung nicht erteilt wird oder wenn im Nachhinein festgestellt wird, dass die vorgelegten Antragsunterlagen nicht wahrheitsgemäß sind. 2.2 Fachkundenachweise und deren Prüfung Dem ausgefüllten und unterzeichneten Antrag sind sämtliche geforderten Fachkundenachweise, gemäß Kapitel 3 des Zertifizierungsschemas, beizulegen, ansonsten wird der Antrag grundsätzlich nicht bearbeitet. Das BSI prüft, ob die vorgelegten Fachkundenachweise ausreichend sind. Ist dies der Fall, wird der Antragsteller zum Zertifizierungsverfahren zugelassen. Bei Fragen oder Zweifeln wird der Antragsteller unterrichtet und aufgefordert, ergänzte oder ggf. weitere Nachweise zu erbringen. Kann die Fachkunde nicht ausreichend nachgewiesen werden, wird der Antragsteller nicht zum Zertifizierungsverfahren zugelassen. Sollten Antrag oder Fachkundenachweise 6 Monate nach Antragstellung nicht vollständig sein, wird das Verfahren vom BSI eingestellt. Im Fall der Einstellung entstehen keine Kosten. Zur Wiederaufnahme des Verfahrens ist dann ein neuer Antrag erforderlich. 2.3 Schulung Nach Zulassung zum Zertifizierungsverfahren (s. Kapitel 2.2) wird der Antragsteller zur Teilnahme an einer obligatorischen Schulung eingeladen. Sollte ein Antragsteller bei mehrmaliger (max. 3) Einladung stets seine Schulungsteilnahme absagen, so wird davon ausgegangen, dass der Antragsteller nicht weiter an einer Zertifizierung interessiert ist. Das Verfahren wird vom BSI eingestellt. Kosten für die Einstellung entstehen nicht. Die ggf. bereits entrichtete Zertifizierungsgebühr wird anteilig zurückerstattet. Zur Wiederaufnahme ist dann Zertifizierungsschema Seite 5

6 ein neuer Antrag erforderlich. Schulungsabsagen, die nicht durch Verschulden des Antragstellers (z.b. wegen Krankheit) erfolgen, sind davon nicht betroffen. Absagen sind jedoch grundsätzlich zu begründen und zu belegen. Die Schulungsveranstaltung hat folgende Inhalte: allgemeine Themen zur IT- und Informationssicherheit Informationssicherheitskriterien, insbesondere ISO Übungen und Beispiele zur Durchführung von Audits Vorgehensweise zur Anwendung der IT-Grundschutz-Kataloge Erläuterung des Prüfschemas für ISO Audits In der Schulungsveranstaltung werden allgemeine Kenntnisse im Bereich Informationssicherheit, praktische Erfahrungen bei der Durchführung von Audits, sowie Kenntnisse der IT-Grundschutz-Vorgehensweise (und -Kataloge) und des Prüfschemas für ISO Audits vorausgesetzt. Ziel der Veranstaltung ist eine Angleichung des Wissenstandes aller Auditoren und ein einheitliches Verständnis der zugrundeliegenden Kriterien. Die Schulungsveranstaltung dient nicht der Grundausbildung zu den Themen Informationssicherheit, Audittechniken und IT- Grundschutz. Üblicherweise findet bedarfsorientiert jeweils eine Schulungsveranstaltung im Frühjahr sowie im Herbst statt, sofern eine bestimmte Mindestteilnehmerzahl erreicht wird. Die Anzahl der Teilnehmer je Schulung ist jedoch begrenzt, um eine intensive Stoffvermittlung und Diskussion offener Punkte zur ermöglichen. Kann der Antragsteller die erfolgreiche Teilnahme an einer ISO Personenzertifizierung (ISO native ) eines anderen Anbieters nachweisen (Zertifikat, Urkunde, o.ä.), so reduzieren sich Schulungstage und -gebühren auf schriftlichen Antrag entsprechend. 2.4 Auditoren-Prüfung Die Auditoren-Prüfung besteht aus der Begutachtung in Rollenspielen während der Schulung und schriftlicher Prüfung am letzten Schulungstag. In den Rollenspielen werden typische Auditsituationen simuliert in denen die Fähigkeit des Antragstellers, Audits eigenständig durchführen zu können, von kompetenten Bewertern beurteilt wird. Die schriftliche Prüfung erfolgt in Form eines 90-minütigen Tests. Die Prüfungsbedingungen werden dem Antragsteller vor Beginn der Prüfung vorgelegt und sind von diesem durch Unterschrift anzuerkennen. Die Prüfungsauswertung erfolgt durch das BSI. Das Ergebnis wird den Prüflingen per mitgeteilt. Wurde der Test nicht bestanden oder konnte der Nachweis der Befähigung zum eigenständigen Audit im Rollenspiel nicht erbracht werden, kann der Test und/oder die Beurteilung der Befähigung zum eigenständigen Audit einmalig wiederholt 3 werden. Dies kann wahlweise zeitnah separat oder in der nächsten Auditorenschulung bzw. -prüfung erfolgen. Diese einmalige Wiederholung der Auditoren-Prüfung ist kostenfrei. Eine zweite Wiederholung ist nicht möglich das Verfahren wird vom BSI eingestellt. Zur Wiederaufnahme des Verfahrens ist dann ein neuer Antrag erforderlich. 3 Bei Täuschungsversuch erlischt der Anspruch auf einmalige Wiederholung der Prüfung. Zertifizierungsschema Seite 6

7 Wird dem Antragsteller ein Betrugsversuch nachgewiesen, so wird das Vertrauensverhältnis zwischen BSI und Antragsteller als nachhaltig gestört betrachtet. In diesem Fall gilt der Nachweis als nicht erbracht und eine Zertifizierung sowie erneute Antragstellung ist nicht möglich. 2.5 Vertragsschluss Nach dem Nachweis der Fachkompetenz und erfolgreich bestandener Auditoren- Prüfung bietet das BSI dem zukünftigen Auditor den Abschluss eines Zertifizierungsvertrages an. In diesem Vertrag sind die Rechte und Pflichten des Auditors während der Vertragslaufzeit geregelt. Der Zertifizierte verpflichtet sich, bei der Durchführung von ISO Audits auf der Basis von IT-Grundschutz, die Vorgaben des BSI, insbesondere die im Prüfschema für ISO Audits festgelegte Vorgehensweise, zu beachten und einzuhalten. Darüber hinaus erklärt er, die Vertraulichkeit der ihm in den Audits zur Kenntnis gelangten Informationen zu wahren (hierzu gehört auch der Einsatz von Einrichtungen zum sicheren Umgang mit Informationen) sowie keine Audits durchzuführen, die die Unabhängigkeit der Auditergebnisse gefährden könnten. 2.6 Erteilung des Zertifikats Nach Rücksendung eines unterzeichneten Exemplars des Zertifizierungsvertrags sowie Zahlungseingang der Zertifizierungsgebühren beim BSI wird ein Zertifikat übersandt. Damit erhält der Antragsteller den Status eines beim BSI zertifizierten Auditteamleiters. Das Zertifikat bestätigt, dass der Zertifizierte für die Dauer der Gültigkeit befugt ist, ISO Audits auf der Basis von IT-Grundschutz zur Erlangung von ISO Zertifikaten auf der Basis von IT-Grundschutz durchzuführen. Das Zertifikat trägt eine Zertifizierungsnummer, die sich wie folgt zusammensetzt: BSI-ZIG BSI = zertifizierende Stelle ZIG = Zertifizierter ISO IT-Grundschutz-Auditor 0001 = laufende Nummer 2008 = Jahr der Vergabe des Zertifikats Die Tatsache der Zertifizierung eines Auditors wird unter Angabe der Zertifizierungsnummer, dem Namen des Auditors, ggf. der Anschrift (dienstlich und/oder privat) sowie dem Gültigkeitszeitraum des Zertifikats vom BSI im Internet und in Publikationen veröffentlicht. Der Auditor kann der Veröffentlichung der Anschrift widersprechen. Das BSI ist jedoch berechtigt, diese bei berechtigtem Interesse an Dritte weiterzugeben, sofern sie im Zusammenhang mit ISMS-Zertifizierungsverfahren beim BSI angefordert wird. Der Auditor wird vor Weitergabe der Anschrift in Kenntnis gesetzt. Die Grundsätze des Datenschutzes werden dabei beachtet. Zertifizierungsschema Seite 7

8 2.7 Erfahrungsaustausch Das BSI lädt zwecks Erfahrungsaustausch jährlich zu einem Auditorentreffen zwischen den zertifizierten ISO Auditoren für Audits auf der Basis von IT- Grundschutz ein. Während des Zertifizierungszeitraumes ist die Teilnahme verpflichtend. Bei Unregelmäßigkeiten behält sich das BSI vor, die Zertifizierung aufzuheben. Eine unverschuldete Nicht-Teilnahme (z.b. wegen Krankheit) ist dem BSI zeitnah mitzuteilen und führt nicht zur Aufhebung der Zertifizierung. 2.8 Auditoren-Überwachung durch das BSI Um die Eignung des Auditors für zukünftige Audits sicherzustellen und eventuell notwendigen Schulungsbedarf zu erkennen, wird nach Abschluss eines Zertifizierungsverfahrens gemäß Prüfschema für ISO Audits die Leistung des Auditors beurteilt und schriftlich fixiert. In diese Beurteilung fließen sämtliche Kontakte der Zertifizierungsstelle mit dem Auditor im Rahmen des Zertifizierungsverfahrens, wie z.b. Treffen, Telefonate und der Auditbericht ein. Um die eigentliche Audittätigkeit des Auditors zu beurteilen, wird regelmäßig, wie in der zugrundeliegenden Norm ISO/IEC [3] gefordert, ein Audittag (vor Ort) im Rahmen eines ISO Audits auf der Basis von IT-Grundschutz vom BSI begleitet ( Vor-Ort-Beobachtung ). Hierfür wählt das BSI ein Audit des Auditors stichprobenartig aus und vereinbart den Termin nach Vorliegen des Auditplans. Die Auslagen des BSI sowie die (pauschalierten) Gebühren für die Arbeitszeit in Höhe von derzeit sind vom Auditor zu tragen. Besteht aufgrund früherer Auditberichte oder Rückmeldungen von Dritten der Verdacht von erheblichen Kompetenzmängeln im Audit, so kann das BSI eine außerordentliche Vor-Ort-Beobachtung durchführen. Treten in Auditberichten oder während des begleiteten Audits erhebliche Kompetenzmängel auf, so erhält der Auditor Gelegenheit, diese (nach Abmahnung, s. Kapitel 2.10) zu korrigieren und Maßnahmen zur zukünftigen Vermeidung zu ergreifen (z.b. Schulungen). Die durchgeführten Maßnahmen sind dem BSI schriftlich mitzuteilen bzw. nachzuweisen. Finden diese Maßnahmen nicht statt oder sind diese zur zukünftigen Vermeidung nicht ausreichend, so kann das BSI die Zertifizierung des Auditors umgehend zurückziehen. Der Auditor ist im Zuge dessen nicht mehr berechtigt, mit der Bezeichnung vom BSI zertifizierter Auditor und / oder dem Auditorenlogo zu werben. 4 Institutionen, die unter den Anwendungsbereich des 8 VwKostG fallen, sind von den Gebühren befreit. Zertifizierungsschema Seite 8

9 2.9 Re-Zertifizierung Strebt der bereits zertifizierte Auditteamleiter nach Ablauf der Zertifizierungsdauer eine Re-Zertifizierung an, muss er verschiedene Tätigkeitsnachweise erbringen und am jährlichen Erfahrungsaustausch teilgenommen haben. Der Auditor muss nachweisen, dass er sich ständig fachlich weiterentwickelt hat und Änderungen der Auditpraxis, einschlägiger Normen und anderer Anforderungen berücksichtigt. Dabei steht die Aufrechterhaltung der Fähigkeiten, ein Audit auf Grundlage des aktuellen Standes der Technik und der neuesten Version der IT-Grundschutz-Kataloge und BSI-Standards sowie der ISO durchzuführen, im Vordergrund. Die Re-Zertifizierung ist gebührenpflichtig. 5 Zusammen mit dem Antrag auf Re-Zertifizierung müssen die erforderlichen Tätigkeitsnachweise beim BSI eingereicht werden. Diese werden verschieden gewichtet und mit Punktzahlen unterschiedlich hoch bewertet (s. Anlage I), wobei insgesamt eine Summe von 60 Punkten erreicht werden muss. Das BSI prüft, ob der Antragsteller Tätigkeitsnachweise in ausreichendem Umfang erbracht hat. Sollten in den eingereichten Unterlagen keine Nachweise über ein Zertifizierungsaudit nach Vorgaben des Prüfschemas für ISO Audits enthalten sein (s. Kapitel 2.8), so behält sich das BSI vor, eine erneute Beurteilung der Auditfähigkeit (analog zu der Beurteilung in der Schulung, s. Kapitel 2.4) durchzuführen. Erfüllt der Auditor die Voraussetzungen, stellt das BSI einen Zertifizierungsvertrag sowie ein Zertifikat mit dem neuen Gültigkeitszeitraum aus. Erfüllt der Auditor die Voraussetzungen für die Re-Zertifizierung nicht oder fällt die ggf. notwendige Beurteilung der Auditfähigkeit negativ aus, kann ein neuer Antrag auf Zertifizierung gestellt werden, sofern alle Zulassungsvoraussetzungen (s. Kapitel 3) erfüllt sind Mahnverfahren Stellt das BSI fest, dass der zertifizierte Auditteamleiter schwerwiegend gegen das Prüfschema für ISO Audits oder gegen die vereinbarte Vertraulichkeit der Ergebnisse verstößt oder im Rahmen der Auditoren-Überwachung Kompetenzmängel aufweist oder das Vertrauensverhältnis zwischen BSI und Auditor nachhaltig gestört hat oder verschuldet nicht am jährlichen Erfahrungsaustausch teilgenommen hat oder Zertifizierungsantrag oder Fachkundenachweise vorlegte, die unrichtig waren oder Inkorrektheiten enthielten, wird der zertifizierte Auditteamleiter vom BSI schriftlich angemahnt. In der Mahnung wird dem Auditteamleiter der Mahnungsgrund mitgeteilt und eine Frist von 30 Kalendertagen zur Beseitigung bzw. Stellungnahme gesetzt. Können die 5 Institutionen, die unter den Anwendungsbereich des 8 VwKostG fallen, sind von den Re- Zertifizierungsgebühren befreit. Zertifizierungsschema Seite 9

10 Gründe, die zur Abmahnung geführt haben, nicht fristgerecht entkräftet oder beseitigt werden, wird das erteilte Zertifikat entzogen Zertifikatsentzug Eine vom BSI erteiltes Personenzertifikat kann nach Mahnung entzogen werden, wenn die Gründe, die zur Abmahnung geführt haben (s. Kapitel 2.10), nicht fristgerecht entkräftet oder beseitigt werden konnten. Der Auditor kann dem BSI sein Zertifikat jederzeit zurückgeben. Damit wird der Zertifizierungsvertrag gekündigt und der Auditor aus der Liste der zertifizierten Auditoren gestrichen. Der Auditor ist im Zuge dessen nicht mehr berechtigt, mit der Bezeichnung vom BSI zertifizierter Auditor und / oder dem Auditorenlogo zu werben. Zertifizierungsschema Seite 10

11 3 Inhalt der Fachkundenachweise Es werden grundlegende Kenntnisse der IT und Informationssicherheit, Auditerfahrung sowie des IT-Grundschutzes vorausgesetzt. Daher gelten für die Teilnahme am Zertifizierungsverfahren zum ISO Auditteamleiter für Audits auf der Basis von IT-Grundschutz folgende Zulassungsvoraussetzungen: I Bildungsabschluss Anforderung: Der Antragsteller muss eine Ausbildung abgeschlossen haben, in der er grundlegende Kenntnisse und Fähigkeiten für seine spätere Tätigkeit als Auditteamleiter erlangt hat. Hierzu zählt beispielsweise ein(e) abgeschlossene(s) Ausbildung oder Studium im Bereich IT und/oder Informationssicherheit. Sollte der Antragsteller mit der abgeschlossenen Ausbildung bzw. dem Tätigkeitsfeld in dem die Ausbildung abgeschlossen wurde nicht die erforderlichen Kenntnisse und Fähigkeiten (im Bereich IT und/oder Informationssicherheit sowie Auditierung) erlangt haben, so muss ein Nachweis erbracht werden, dass diese über vergleichbare berufsbegleitende Fortbildungen (z.b. Fortbildungen im Bereich IT und/oder Informationssicherheit) erworben worden sind. Falls der Antragsteller die Anforderungen an Ausbildung und vergleichbare Fortbildungen nicht nachweisen kann, so muss alternativ ein Nachweis erbracht werden, dass die erforderlichen Kenntnisse und Fähigkeiten durch einschlägige Berufserfahrung über mindestens 8 Jahre im Bereich IT, davon mindestens 5 Jahre im Bereich Informationssicherheit (analog zu II Berufserfahrung ) erworben worden ist. Nachweis: Ein Zeugnis des Ausbildungsabschlusses und ggf. Bescheinigungen der Teilnahme an Fortbildungen oder ein Zeugnis / eine Bestätigung eines Dritten (z.b. Arbeitgeber) über die Berufserfahrung. II Berufserfahrung Anforderung: Der Antragsteller muss aus den letzten Jahren mindestens 5 Jahre fachspezifische, praktische Berufserfahrung, gerechnet auf Vollzeit, im Bereich IT, davon mindestens 2 Jahre im Bereich Informationssicherheit nachweisen. Nachweis: Ein Zeugnis oder eine Bestätigung eines Dritten (z.b. Arbeitgeber) über die Berufserfahrung im Bereich IT sowie im Bereich Informationssicherheit. Aus diesem Nachweis muss Art und Umfang der Berufserfahrung klar hervorgehen. Dies erfolgt in der Regel durch eine kurze Tätigkeitsbeschreibung bzw. durch ein Arbeitszeugnis. Zertifizierungsschema Seite 11

12 III Auditerfahrung Anforderung: Der Antragsteller muss in den zurückliegenden 3 Jahren (Stichtag: Antragsdatum) an 4 Zertifizierungsaudits (Drittparteien-Audits) 6 im Bereich Informationssicherheit (davon mindestens 1 Audit durchgängig nach BSI-Standard [5]) als Auditor, Auditor-Trainee oder technischer Experte (s. Kapitel 4.1) mit einem Gesamtumfang von mindestens 20 Personentagen teilgenommen haben. Bei mindestens 3 dieser Audits muss der Antragsteller am gesamten Audit beteiligt gewesen sein. Alternativ muss der Antragsteller in den zurückliegenden 3 Jahren (Stichtag: Antragsdatum) an 6 Erstparteien-Audits 7 oder Zweitparteien-Audits 8 im Bereich Informationssicherheit (davon mindestens 1 Audit durchgängig nach BSI-Standard [5]) als verantwortlicher Auditor mit einem Gesamtumfang von mindestens 20 Personentagen teilgenommen haben. Bei allen 6 Audits muss der Antragsteller am gesamten Audit teilgenommen haben. Nachweis: Vom Auftraggeber oder Arbeitgeber bestätigte Kurzberichte über die Durchführung der Audits bzw. bei Zertifizierungsaudits die Vorlage der erlangten Zertifikate, falls die Teilnahme des Antragstellers und die Auditdauer daraus ersichtlich ist. Im Kurzbericht sind anzugeben: die wesentlichen Ziele sowie der Gegenstand des Audits die Audit-Vorgehensweise (Dokumentenprüfung, vor-ort-prüfung, Auditbericht, etc.) die Rollenverteilung im Audit, insbesondere die Position / Verantwortung des Antragstellers der Zeitraum und Umfang (Personentage) des Audits Die Angaben im Kurzbericht können (z.b. bei Projekten mit Dritten) auch anonymisiert erfolgen. 6 Zertifizierungsaudits: Hierzu zählen alle externen, unabhängig durchgeführten Audits, die im Bereich Informationssicherheit zu Zertifikaten oder vergleichbaren Abschlüssen geführt haben. Diese Zertifikate müssen nicht vom BSI ausgestellt worden sein. 7 Erstparteien-Audits: Hierzu zählen nur Erstparteien-Audits, die im Auftrag einer Organisation bei dieser Organisation und nicht von der Organisation selbst für interne Zwecke durchgeführt wurden (vgl. DIN EN ISO 9000:2005, Kapitel 2.8.2). 8 Zweitparteien-Audits: Zweitparteien-Audits werden von Parteien, die ein Interesse an der Organisation haben, wie z.b. Kunden, oder von Personen in deren Auftrag durchgeführt (vgl. DIN EN ISO 9000:2005, Kapitel 3.9.1). Zertifizierungsschema Seite 12

13 Eine kurze tabellarische Zusammenfassung der Zulassungsvoraussetzungen stellt sich wie folgt dar 9 : Anforderung Erläuterung Nachweis Bildungsabschluss Berufserfahrung Auditerfahrung Alternative I Auditerfahrung Alternative II abgeschlossene Ausbildung ggf. Fortbildungen oder mind. 8 Jahre Berufserfahrung im Bereich IT / davon mind. 5 Jahre im Bereich Informationssicherheit mind. 5 Jahre Berufserfahrung im Bereich IT / davon mind. 2 Jahre im Bereich Informationssicherheit in den letzten 3 Jahren 4 Zertifizierungsaudits im Bereich Informationssicherheit / davon mind. 1 Audit durchgängig nach BSI-Standard als Auditor, Auditor-Trainee oder technischer Experte Gesamtumfang mind. 20 Personentage bei mind. 3 der Audits Beteiligung am gesamten Audit in den letzten 3 Jahren 6 Erstparteien-Audits oder Zweitparteien- Audits im Bereich Informationssicherheit / davon mind. 1 Audit durchgängig nach BSI-Standard als verantwortlicher Auditor Gesamtumfang mind. 20 Personentage bei allen Audits Beteiligung am gesamten Audit Zeugnis Ausbildungsabschluss oder Zeugnis Ausbildungsabschluss und Bescheinigungen der Teilnahme an Fortbildungen oder Zeugnis / Bestätigung eines Dritten über die Berufserfahrung Zeugnis / Bestätigung eines Dritten über die Berufserfahrung mit Übersicht über die durchgeführten Tätigkeiten gegengezeichnete Auditberichte oder erlangte Zertifikate Alle genannten Fachkundenachweise sind dem BSI mit Einreichung des Antrags auf Zertifizierung als Auditteamleiter vorzulegen. Das BSI behält sich vor, die gemachten Angaben zu überprüfen. Sollten Falschaussagen in den Fachkundenachweisen offengelegt werden, ist die Vertrauenswürdigkeit des Antragstellers nicht mehr gegeben und eine Zertifizierung nicht möglich oder muss nachträglich entzogen werden. 9 Für nähere Informationen unbedingt den entsprechenden Freitext des Kapitels 3 beachten. Zertifizierungsschema Seite 13

14 4 Definitionen und Quellen 4.1 Begriffsdefinitionen Begriff Auditteamleiter Auditor Auditor-Trainee Co-Auditor ISMS Informationsverbund technischer Experte Definition Person, die vom BSI zertifiziert wurde und eigenständig ISO Audits auf der Basis von IT-Grundschutz durchführen darf. Oberbegriff für Personen, die Audits durchführen. Um gemäß Prüfschema für ISO Audits [1] des BSI tätig zu werden, muss der Auditor beim BSI zertifiziert sein. Person, die mit dem Ziel selbst Auditteamleiter zu werden, einen bereits zertifizierten Auditteamleiter bei Audits begleitet (und unter Aufsicht auch Teile des Audits durchführt). Auditor, der an einem Audit teilnimmt, dieses aber nicht selbst leitet. Informationssicherheit-Managementsystem Begriff des IT-Grundschutzes, siehe [1] Person, die Auditteamleiter zu einzelnen Fragen berät (z.b. zu bestimmter Hard- oder Software), ohne selbst zu auditieren. Wird in [1] auch synonym als Erfüllungsgehilfe bezeichnet. 4.2 Literaturverzeichnis [1] Zertifizierung nach ISO auf der Basis von IT-Grundschutz - Prüfschema für ISO Audits, in der jeweils gültigen Fassung, [2] BSI-Errichtungsgesetz vom 17. Dezember 1990 (BGBl. I S. 2834), zuletzt geändert durch Artikel 11 der Verordnung vom 25. November 2003 (BGBl. I S. 2304) [3] ISO/IEC Information technology - Security techniques - Requirements for bodies providing audit and certification of information security management systems [4] Kostenverordnung für Amtshandlungen des Bundesamts für Sicherheit in der Informationstechnik, in der jeweils gültigen Fassung, [5] BSI-Standard IT-Grundschutz-Vorgehensweise, Zertifizierungsschema Seite 14

15 5 Anlage I Punkteskala für den Tätigkeitsnachweis als zertifizierter Auditor für ISO Audits auf der Basis von IT-Grundschutz zur Re-Zertifizierung (Stand: Januar 2009) Tätigkeiten 10 Audits für Zertifikate auf der Basis von IT-Grundschutz durchgeführt Audits mit Auditor-Testat durchgeführt Audits im Bereich Informationssicherheit durchgeführt Projekt mit Zielsetzung der Umsetzung eines Sicherheitskonzeptes nach der Vorgehensweise gemäß IT-Grundschutz abgeschlossen Grundschutz-Beratungsprojekt mit Zertifikatsziel abgeschlossen Bewertung (P = Punktzahl) 40 P 20 P 15 P (maximal 3x) 15 P 10 P Schulung über IT-Grundschutz gehalten 5 P (maximal 1x) Informationssicherheitsveranstaltungen gehalten oder besucht (eintägig) Mitwirkung bei der Fortentwicklung des IT-Grundschutzes: Entwicklung eines IT-Grundschutz- Bausteines (nur veröffentlichte Bausteine) Anpassung des Schemas Durchführung von QS (mit verwertbarem Feedback) 5 P (maximal 1x) 20 P (maximal 2x) 10 P 5 P (maximal 4x) 10 Wird die Tätigkeit nur teilweise ausgeführt (z.b. als Co-Auditor für einen Teilbereich) dann wird diese Tätigkeit mit entsprechend prozentualer Punktezahl bewertet. Zertifizierungsschema Seite 15