Konformitätsbewertungsprogramm zur Akkreditierung von Zertifizierungsstellen veröffentlicht

Mitte April veröffentlichte die Bundesnetzagentur das Konformitätsbewertungsprogramm zur Akkreditierung von Zertifizierungsstellen. Damit wurden die Anforderungen, deren Erfüllung eine Zertifizierungsstelle für eine Akkreditierung nachweisen muss, beschrieben. Das Zertifizierungsschema nach dem IT-Sicherheitskatalog folgt demnach wie erwartet den Normen ISO/IEC 27001 und ISO/IEC 27019.

In der Veröffentlichung werden für die Zertifizierung folgende Konkretisierungen festgelegt:

• Das Risikomanagement der Organisation gemäß Abschnitt 6.1.3 und 8 der DIN ISO/IEC 27001 muss auch sämtliche Maßnahmen der DIN ISO/IEC TR 27019:2015-03; DIN SPEC 27019:2015-03 berücksichtigen, d. h. der Begriff „Anhang A" in Abschnitt 6.1.3 ist als „Anhang A sowie sämtliche Maßnahmen der DIN ISO/IEC TR 27019:2015-03; DIN SPEC 27019:2015-03" zu verstehen. Die in den Normen genannten Maßnahmen sind also nicht zwingend vollständig umzusetzen, aber im Rahmen des Risikomanagements vollständig auf ihre Relevanz zu prüfen.
• Sofern Teile des zu zertifizierenden Informationssicherheits-Managementsystems (ISMS) nicht unter den Geltungsbereich der DIN ISO/IEC TR 27019:2015-03; DIN SPEC 27019:2015-03 fallen (z. B. solche Systeme, die zwar in der Leitstelle Informationen für Schaltentscheidungen bereitstellen, aber technisch nicht mit den unter die DIN ISO/IEC TR 27019:2015-03; DIN SPEC 27019:2015-03 fallenden Systemen verbunden sind), gilt für diese Teile die DIN ISO/IEC TR 27019:2015-03; DIN SPEC 27019:2015-03 nicht, d. h. insoweit gilt insbesondere Nr. 1 nicht.
• Die DIN ISO/IEC TR 27019:2015-03; DIN SPEC 27019:2015-03 referenziert die ISO/IEC 27002:2005 normativ, während die DIN ISO/IEC 27001:2015 die ISO/IEC 27002:2013 normativ referenziert. Da die DIN ISO/IEC TR 27019:2015-03; DIN SPEC 27019:2015-03 sich auf die Maßnahmen der ISO/IEC 27002 abstützt, muss für alle ausgewählten Maßnahmen der DIN ISO/IEC TR 27019:2015-03; DIN SPEC 27019:2015-03 eine Abbildung der Maßnahmen der ISO/IEC 27002:2005 auf die ISO/IEC 27002:2013 gemäß Anlage 1 erfolgen.