Ein Informationssicherheitsmanagementsystem (ISMS) enthält Regeln und Verfahren im Rahmen der Informationssicherheit. Vor allem für kleine und mittlere Unternehmen (KMU) kann ein ISMS viel Aufwand bedeuten. Genau für diese Unternehmen ist die Zertifizierung VdS 10000 geeignet.
VdS 10000 – Geeignet für KMUs
Die VdS Schadenverhütung GmbH stellt die VdS 10000 bereit und somit den Nachfolger der VdS 3473. Die VdS 10000 bietet Vorgaben und Hilfestellungen für die Implementierung eines Informationssicherheitsmanagmentsystems (ISMS). Der Fokus dieser Richtlinie liegt auf KMUs mit dem Ziel, dass diese Unternehmen ein angemessenes Schutzniveau erreichen können, ohne organisatorisch oder finanziell überfordert zu sein.
Um dieses Ziel zu erreichen ist die VdS 10000 mit einer eindeutigen Sprachregelung ausgestattet, bspw. werden die Verbindlichkeiten sämtlicher Maßnahmen mit (“muss”/”sollte”/”kann”/”sollte nicht”/”darf nicht”) gekennzeichnet. Eine weitere eindeutige Sprachreglung kann bei der Einstufung der einzelnen Kriterien von IT-Ressourcen gesehen werden. Die einzelnen Kriterien werden lediglich als “kritisch” oder “nicht kritisch” definiert. Die “nicht kritischen” IT-Ressourcen benötigen lediglich einen definierten Basisschutz im Rahmen der Zertifizierung.
Das VdS-Zertifikat stellt die Zertifizierung im Rahmen der VdS 10000 dar. Um diese Zertifizierung zu erlangen, hat VdS zwei Instrumente entwickelt, die die Unternehmen unterstützen sollen:
- Eine Selbstauskunft, bestehend aus 39 Fragen zu Handlungsfeldern Organisation, Technik, Prävention und Management. Durch diese Selbstauskunft in Form einen Online Quick-Check fällt ein eventueller Handlungsbedarf in einzelnen Aspekten auf.
- Auf den Ergebnissen der Selbstauskunft, kann optional ein Audit durchgeführt werden. Dieses Audit wird durch einen VdS-Mitarbeiter vor Ort durchgeführt, um den aktuellen Status der Informationssicherheit zu testen und Verbesserungsbedarf zu ermitteln.
Bezug zu der ISO 27001
In unserer Blogreihe über die ISO 27001, das bekannteste Informationssicherheitsmanagementsystem (ISMS) haben wir die einzelnen Kapitel ausführlich erklärt. Die VdS 10000 stellt eine Alternative zu der ISO 27001 dar, da es sich bei beiden Systemen um ein eigenständiges ISMS handelt. Der große Vorteil, vor allem für KMUs denen der Aufwand zur ISO 27001 aktuell zu groß ist, ist die Aufwärtskompatibilität der VdS 10000 Zertifizierung.
Es ist keine “entweder-oder” Entscheidung im Bezug auf die beiden ISMS. Denn jegliche Inhalte der VdS 10000 sind auch im Rahmen der ISO 27001 gefordert und verursachen somit keinen doppelten Aufwand. Für KMUs lohnt sich ein Blick auf die Zertifizierung, wenn es darum geht ein erstes Informationssicherheitsmanagementsystem einzuführen.