BSI-IGZ zum. Phoenix Videokonferenzsystem. der. Phoenix Software GmbH

Transkript

1 zum Phoenix Videokonferenzsystem der Phoenix Software GmbH

2 BSI - Bundesamt für Sicherheit in der Informationstechnik, Postfach , D Bonn Telefon +49 (0) , Fax +49 (0) , Hotline +49 (0) Certification Report V1.0 ZS F-302 V2.52

3 ISO Zertifikat auf der Basis von IT-Grundschutz Phoenix Videokonferenzsystem der Phoenix Software GmbH gültig bis: 29. Dezember 2012 * Zertifikat Nummer: gültig bis Der Untersuchungsgegenstand ist das Phoenix Videokonferenzsystem, das eine "Telefonkonferenz mit Bild" mit Sicherheits- und Verfügbarkeitsanforderungen zwischen den Konferenzteilnehmern für normalen Schutzbedarf ermöglicht. Die Dienstleistung der Phoenix Software GmbH in Bonn, im Rahmen dieses Geschäftsfeldes, beläuft sich auf die Erstinstallation beim Kunden, die Gesamtkontrolle im Sinne von Verfügbarkeit, die Hilfestellung bei technischen Problemen, Pflege und Update zentraler Komponenten sowie auf den Einladungsservice bei Videokonferenzen. Im Rahmen des Verfahren wurden personelle, organisatorische, infrastrukturelle sowie Anforderungen an die IT zur Erbringung der Dienstleistung der Phoenix Software GmbH am Standort Bonn untersucht. Die Steuerungssoftware und der Betrieb des Videokonferenzsystems, als Teil des IT-Verbundes, werden vom Rechenzentrum Gass-Merkur in Hannover gehostet, jedoch von der Phoenix Software AG administriert. Der oben aufgeführte Untersuchungsgegenstand wurde von Dr. Jörn Voßbein, lizenzierter Auditor für ISO Audits auf der Basis von IT-Grundschutz, in Übereinstimmung mit dem Zertifizierungsschema des Bundesamtes für Sicherheit in der Informationstechnik geprüft. Die im Auditbericht enthaltenen Schlussfolgerungen des Auditors sind im Einklang mit den erbrachten Nachweisen. Die durch dieses Zertifikat bestätigte Anwendung von ISO auf der Basis von IT-Grundschutz umfasst die Maßnahmenziele und Maßnahmen aus Annex A von ISO/IEC 27001:2005 und die damit verbundenen Ratschläge zur Umsetzung und Anleitungen für allgemein anerkannte Verfahren aus ISO/IEC 27002:2005. Dieses Zertifikat ist keine generelle Empfehlung des Untersuchungsgegenstandes durch das Bundesamt für Sicherheit in der Informationstechnik. Eine Gewährleistung für den Untersuchungsgegenstand durch das Bundesamt für Sicherheit in der Informationstechnik ist weder enthalten noch zum Ausdruck gebracht. Dieses Zertifikat gilt nur für den angegebenen Untersuchungsgegenstand und nur in Zusammenhang mit dem vollständigen Zertifizierungsreport. Bonn, 30. Dezember 2009 Bundesamt für Sicherheit in der Informationstechnik Im Auftrag Bernd Kowalski Abteilungspräsident L.S. * Unter der Bedingung, dass die ab 29. Dezember 2010 jährlich durchzuführenden Überwachungsaudits mit positivem Ergebnis abgeschlossen werden. Bundesamt für Sicherheit in der Informationstechnik Godesberger Allee D Bonn - Postfach D Bonn Telefon +49 (0) Fax +49 (0) Infoline +49 (0)

4 Zertifizierungsreport Dies ist eine eingefügte Leerseite.

5 Zertifizierungsreport 1 Vorbemerkung ISO Zertifizierungen auf der Basis von IT-Grundschutz geben Behörden und Unternehmen die Möglichkeit, ihre Bemühungen um Informationssicherheit und die erfolgreiche Umsetzung internationaler Normen unter Anwendung der IT-Grundschutz- Methodik nach innen und außen zu dokumentieren. Das Ergebnis des Zertifizierungsverfahrens ist der vorliegende Zertifizierungsreport. Er enthält das Zertifikat und weitere Angaben. 2 Grundlagen des Zertifizierungsverfahrens Die Zertifizierungsstelle führt das Verfahren nach Maßgabe der folgenden Vorgaben durch: BSIG 1 BSI-Kostenverordnung 2 Erlasse des Bundesministeriums des Innern vom 06. Februar 2001 und vom 22. Dezember 2005 zum Zertifizierungsschema im Bereich IT-Grundschutz ISO/IEC 27001:2005 "Information technology - Security techniques - Information security management systems Requirements" BSI-Standard IT-Grundschutz-Vorgehensweise IT-Grundschutz-Kataloge des BSI Zertifizierung nach ISO auf der Basis von IT-Grundschutz - Prüfschema für ISO Audits DIN EN ISO "Leitfaden für Audits von Qualitätsmanagement- und/oder Umweltmanagementsystemen" ISO/IEC 27006:2007 Information technology - Security techniques - Requirements for bodies providing audit and certification of information security management systems DIN EN ISO/IEC 17021:2006 "Konformitätsbewertung - Anforderungen an Stellen, die Managementsysteme auditieren und zertifizieren" 3 Angaben zum Zertifizierungsverfahren und zum Verlauf der Auditierung Der in Kapitel 5 beschriebene Untersuchungsgegenstand wurde durch einen lizenzierten Auditor für ISO Audits auf der Basis von IT-Grundschutz in Übereinstimmung mit dem Zertifizierungsschema des Bundesamtes für Sicherheit in der Informationstechnik geprüft. Die im Auditbericht enthaltenen Schlussfolgerungen des Auditors sind im Einklang mit den erbrachten Nachweisen. 1 Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSI-Gesetz BSIG) vom 14. August 2009, Bundesgesetzblatt I S Kostenverordnung für Amtshandlungen des Bundesamtes für Sicherheit in der Informationstechnik (BSI-Kostenverordnung-BSI-KostV) vom 3. März 2005, Bundesgesetzblatt I S

6 Zertifizierungsreport Das Zertifikat ist bis 29. Dezember 2012 gültig, unter der Bedingung, dass die ab 29. Dezember 2010 jährlich durchzuführenden Überwachungsaudits mit positivem Ergebnis abgeschlossen werden. 4 Name und Adresse des Auditteamleiters Dr. Jörn Voßbein c/o UIMC Dr. Voßbein GmbH & Co. KG Moltkestraße Wuppertal Der Auditor ist beim Bundesamt für Sicherheit in der Informationstechnik für die Durchführung von ISO Audits auf der Basis von IT-Grundschutz unter der Lizenznummer BSI-IGL lizenziert. Der Auditor und beteiligte Mitglieder des Auditteams haben die Auditierung unabhängig durchgeführt. 5 Untersuchungsgegenstand Der Untersuchungsgegenstand ist das Phoenix Videokonferenzsystem, das eine "Telefonkonferenz mit Bild" mit Sicherheits- und Verfügbarkeitsanforderungen zwischen den Konferenzteilnehmern für normalen Schutzbedarf ermöglicht. Die Dienstleistung der Phoenix Software GmbH in Bonn, im Rahmen dieses Geschäftsfeldes, beläuft sich auf die Erstinstallation beim Kunden, die Gesamtkontrolle im Sinne von Verfügbarkeit, die Hilfestellung bei technischen Problemen, Pflege und Update zentraler Komponenten sowie auf den Einladungsservice bei Videokonferenzen. Im Rahmen des Verfahren wurden personelle, organisatorische, infrastrukturelle sowie Anforderungen an die IT zur Erbringung der Dienstleistung der Phoenix Software GmbH am Standort Bonn untersucht. Die Steuerungssoftware und der Betrieb des Videokonferenzsystems, als Teil des IT- Verbundes, werden vom Rechenzentrum Gass-Merkur in Hannover gehostet, jedoch von der Phoenix Software AG administriert. Firmenadresse: Phoenix Software GmbH Adolf-Hombitzer-Straße Bonn Der Basis-Sicherheitscheck trägt das Datum vom 17. April