Das Produkt „Sicherer IT-Betrieb“ (Basisvariante) in der Version 8.0 des Informatikzentrums der Sparkassenorganisation (SIZ) hat das Prüfzeichen „Trusted Product ISO 27001 Tool“ erhalten. Damit ist es das erste Produkt, das auf Grundlage dieses neuen TÜViT-Prüfverfahrens zertifiziert wurde. Das Verfahren dient der Prüfung von Produkten, die bei der Etablierung und des Betriebs von Informationssicherheits-Managementsystemen (ISMS) gemäß der internationalen Informationssicherheits-Norm „ISO/IEC 27001:2005“ eingesetzt werden.
Das Prüfzeichen
Das Zertifikat bescheinigt dem Produkt „Sicherer IT-Betrieb“ (Basisvariante) in der Version 8.0, dass die Anforderungen an ein „Trusted Product ISO 27001 Tool“ erfüllt sind. Dazu gehört unter anderem, dass das Produkt die Norm ISO/IEC 27001:2005 vollständig und funktional richtig abdeckt, alle Phasen des Plan-Do-Check-Act-(PDCA)-Zyklus der ISO/IEC 27001:2005 unterstützt, effiziente Lösungen zur Erstellung und zum Management der ISMS-Dokumentation bietet und der Software-Entwicklungsprozess sowie die Technologie dem aktuellen Stand der Technik entsprechen.
„Sicherer IT-Betrieb“ unterstützt praxisnah
Das Produkt „Sicherer IT-Betrieb“ in der Basisvariante im Release 8.0 erfüllt diese Anforderungen und bietet darüber hinaus viele weitere Praxishilfen. Mit Hilfe des Produktes werden bestehende Schwachstellen in der Informationssicherheit identifiziert und Vorschläge zu deren Behebung erstellt. Für die effiziente Einführung und Nutzung des ISMS stehen beispielsweise Anleitungen, Auditkataloge und Vorgehensmodelle bereit. Sie lassen sich nach Anpassung an die eigenen Bedürfnisse direkt im Produkt dokumentieren, so dass typische Prüfungs-Anforderungen abgedeckt werden.
Ganzheitliche Lösung für IT-Compliance
„‚Sicherer IT-Betrieb‘ verfolgt einen ganzheitlichen, modernen und risikoorientierten Ansatz. Neben der IT werden auch weitere Risikofaktoren wie etwa Gebäudesicherheit oder Notfallplanung einbezogen,“ sagt Benno Rieger, Leiter Sicherheitstechnologie beim SIZ.
Über die Anforderungen der „Norm ISO/IEC 27001:2005“ hinaus werden weitere gängige Compliance-Anforderungen an die Informationssicherheit unterstützt, die jedoch nicht Gegenstand der Produkt-Zertifizierungsprüfung „Trusted Product ISO 27001 Tool“ waren: Dies sind insbesondere die Anforderungen der deutschen Gesetzgebung (z. B. KonTraG, HGB, AO), der Wirtschaftsprüfer (IDW-Prüfungsstandards), der COBIT, der BSI-IT-Grundschutz-Kataloge und des IT-Betriebs-Standards ITIL. Für spezielle Branchen wie beispielsweise Banken oder Versicherungen sind spezifische Varianten verfügbar.
Im Rahmen einer feierlichen Veranstaltung am 9. Juni 2010 beim SIZ in Bonn hat Dr. Christoph Sutter (Zertifizierungsstellenleiter TÜViT) das zugehörige Zertifikat an den Sprecher der Geschäftsführung, Herrn Alexander von Stülpnagel, überreicht.
Pressemitteilung vom SIZ Informatikzentrum der Sparkassenorganisation GmbH