Beratung

VdS 10000 – Der kleine Bruder der ISO 27001

Aktualisiert am

Ein Informationssicherheitsmanagementsystem (ISMS) enthält Regeln und Verfahren im Rahmen der Informationssicherheit. Vor allem für kleine und mittlere Unternehmen (KMU) kann ein ISMS viel Aufwand bedeuten. Genau für diese Unternehmen ist die Zertifizierung VdS 10000 geeignet.

VdS 10000 – Geeignet für KMUs

Die VdS Schadenverhütung GmbH stellt die VdS 10000 bereit und somit den Nachfolger der VdS 3473. Die VdS 10000 bietet Vorgaben und Hilfestellungen für die Implementierung eines Informationssicherheitsmanagmentsystems (ISMS). Der Fokus dieser Richtlinie liegt auf KMUs mit dem Ziel, dass diese Unternehmen ein angemessenes Schutzniveau erreichen können, ohne organisatorisch oder finanziell überfordert zu sein.

Um dieses Ziel zu erreichen ist die VdS 10000 mit einer eindeutigen Sprachregelung ausgestattet, bspw. werden die Verbindlichkeiten sämtlicher Maßnahmen mit (“muss”/”sollte”/”kann”/”sollte nicht”/”darf nicht”) gekennzeichnet. Eine weitere eindeutige Sprachreglung kann bei der Einstufung der einzelnen Kriterien von IT-Ressourcen gesehen werden. Die einzelnen Kriterien werden lediglich als “kritisch” oder “nicht kritisch” definiert. Die “nicht kritischen” IT-Ressourcen benötigen lediglich einen definierten Basisschutz im Rahmen der Zertifizierung.

Das VdS-Zertifikat stellt die Zertifizierung im Rahmen der VdS 10000 dar. Um diese Zertifizierung zu erlangen, hat VdS zwei Instrumente entwickelt, die die Unternehmen unterstützen sollen:

  1. Eine Selbstauskunft, bestehend aus 39 Fragen zu Handlungsfeldern Organisation, Technik, Prävention und Management. Durch diese Selbstauskunft in Form einen Online Quick-Check fällt ein eventueller Handlungsbedarf in einzelnen Aspekten auf.
  2. Auf den Ergebnissen der Selbstauskunft, kann optional ein Audit durchgeführt werden. Dieses Audit wird durch einen VdS-Mitarbeiter vor Ort durchgeführt, um den aktuellen Status der Informationssicherheit zu testen und Verbesserungsbedarf zu ermitteln.

Bezug zu der ISO 27001

In unserer Blogreihe über die ISO 27001, das bekannteste Informationssicherheitsmanagementsystem (ISMS) haben wir die einzelnen Kapitel ausführlich erklärt. Die VdS 10000 stellt eine Alternative zu der ISO 27001 dar, da es sich bei beiden Systemen um ein eigenständiges ISMS handelt. Der große Vorteil, vor allem für KMUs denen der Aufwand zur ISO 27001 aktuell zu groß ist, ist die Aufwärtskompatibilität der VdS 10000 Zertifizierung.

Es ist keine “entweder-oder” Entscheidung im Bezug auf die beiden ISMS. Denn jegliche Inhalte der VdS 10000 sind auch im Rahmen der ISO 27001 gefordert und verursachen somit keinen doppelten Aufwand. Für KMUs lohnt sich ein Blick auf die Zertifizierung, wenn es darum geht ein erstes Informationssicherheitsmanagementsystem einzuführen.

Foto des Autors

Chris Wojzechowski

Mein Name ist Chris Wojzechowski und ich habe vor wenigen Jahren meinen Master in Internet-Sicherheit in Gelsenkirchen studiert. Ich bin geschäftsführender Gesellschafter der AWARE7 GmbH und ausgebildeter IT-Risk Manager, IT-Grundschutz Praktiker (TÜV) und besitze die Prüfverfahrenskompetenz für § 8a BSIG. Unser Brot und Buttergeschäft ist die Durchführung von Penetrationstests. Wir setzen uns darüber hinaus für ein breites Verständnis für IT-Sicherheit in Europa ein und bieten aus diesem Grund den Großteil unserer Produkte kostenfrei an.