VdS 10000 Zertifizierung für KMU
Die branchenneutralen VdS-Richtlinien 10000 sind ein speziell auf KMU zugeschnittener Maßnahmenkatalog für ein Managementsystem, mit dem der Informationssicherheitsstatus eines Unternehmens verbessert wird. Die Mindestanforderungen an die Informationssicherheit sind verständlich formuliert und so gestaltet, dass KMU organisatorisch und finanziell nicht überfordert werden. Die Richtlinien VdS 10000 basieren auf den anerkannten Standards ISO 27001 und BSI-Grundschutz. Dies bestätigt das Bundesamt für Sicherheit in der Informationstechnik mit der folgenden Empfehlung: „Das Regelwerk VdS 10000 „Informationssicherheitsmanagementsystem für KMU“ stellt ebenso wie die Basis-Absicherung des IT-Grundschutzes einen geregelten Prozess zur Einführung eines ISMS dar. Ebenfalls vergleichbar sind die beschriebenen Handlungsfelder, Unterschiede ergeben sich jedoch in der Ausprägung der einzelnen Anforderungen, die das VdS-Regelwerk in einigen Handlungsfeldern weniger konkret ausformuliert. Somit stellen die Anforderungen der VdS 10000 eine Teilmenge der Basis-Absicherung des IT-Grundschutzes dar und bilden eine gute Basis zur Implementierung eines ISMS gemäß IT-Grundschutz oder ISO 27001.“
VdS 10000 Informationssicherheit für KMU
Mit ca. 20 % des Aufwandes im Vergleich zu ISO 27001 können KMU aus den VdS-Richtlinien Maßnahmen und Prozesse ableiten, mit denen sie im IT-Bereich ein angemessenes Schutzniveau erreichen. Zusätzlich wurden die VdS-Richtlinien aufwärtskompatibel gestaltet. Dadurch kann eine Zertifizierung nach VdS 10000 auch jederzeit der Einstieg in die ISO-27000er-Reihe sein, bei dem Unternehmen auch von VdS unterstützt werden können.
Die Vorteile zertifizierter Informationssicherheit
Mit einer VdS-zertifizierten Informationssicherheit nach VdS 10000 ergeben sich für KMU eine Reihe von Vorteilen:
- Das VdS-Zertifikat bestätigt, dass sich das Unternehmen organisatorisch, technisch und präventiv auf die wichtigsten Angriffsszenarien vorbereitet hat – und über passende Prozesse und Schutzmaßnahmen verfügt.
- Das VdS-Zertifikat erzeugt bei Lieferanten, Kunden und Versicherern ein hohes Vertrauen in die Leistungsfähigkeit des Unternehmens: Daten sind sicher geschützt und die Risiken zur Einschränkungen der Lieferfähigkeit des Unternehmens wurden minimiert. Wettbewerbsvorteile sind die Folge.
- Das Unternehmen erweitert sein Risikomanagement um den Aspekt der Informationssicherheit. Ein unabdingbares Muss für die Unternehmenssicherheit.
- Die Risikotransparenz im Unternehmen wird erhöht und so die Geschäftsleitung entlastet. Das Unternehmen kann sich wieder auf seine Kernprozesse konzentrieren.
- Das – immer verbleibende – Restrisiko können Unternehmen auf einen Versicherer übertragen und damit eine zweite Verteidigungslinie für ihre Existenzsicherung aufbauen.
- Die Versicherer haben ein hohes Vertrauen in VdS-Bewertungen, ein System, das im Brandschutz seit mehr als 100 Jahren funktioniert. Das Vorhandensein eines Testates/Zertifikates erspart den Versicherern eine Einzelfallbetrachtung beim Kunden.
vds 10005 – Informationssicherheit Klein- und Kleinstunternehmen
Um auch Klein- und Kleinstunternehmen einen ressourcengerechten, systematischen Ansatz zur Verbesserung der Informationssicherheit anbieten zu können, wurde die VdS-Richtlinien 10005 „Mindestanforderungen an die Informationssicherheit von Klein- und Kleinstunternehmen“ entwickelt, die für Unternehmen bis ca. 20 Mitarbeitern oder Organisationen vergleichbarer Größe angewendet werden können.
Das Ziel, den beschriebenen Aufwand für Klein- und Kleinstunternehmen deutlich zu reduzieren, wurde mit der VdS 10005 erreicht. Die VdS Schadenverhütung bietet Unternehmen nunmehr ein Verfahren an, das eine angemessene Absicherung ihrer IT-Landschaft ermöglicht, allerdings aufgrund des Wegfalls des Managementsystemaspekts nicht mehr zertifizierungsfähig ist. Vielmehr zielt die Richtlinie auf ein remoteauditbasiertes Testat ohne zwingende, jährliche Überwachung ab, so dass auf kostenintensive Vor-Ort-Audits verzichtet werden kann. Darüber hinaus stellen die Richtlinien VdS 10005 eine Teilmenge der VdS 10000 dar und sind damit aufwärtskompatibel. Eine interessante Option, wenn beispielsweise durch eine Geschäftsvergrößerung oder Veränderungen des Risikoumfeldes die Anforderungen an die Informationssicherheit steigen.
Die VdS 10005 beschreibt auf nur acht Seiten die Anforderungen zu den Themen Verantwortlichkeiten, Mitarbeiter, IT-Systeme, Netzwerke, Umgebung, Datensicherung und IT-Dienstleister und formuliert neben den Anforderungen zahlreiche Tipps zur Umsetzung für noch mehr Schutz. Der aus der VdS 10000 schon bekannte Basisschutz für IT-Systeme und Netzwerke findet sich in hohem Maße wieder. Besonderes Augenmerk wurde auf die Datensicherung und den damit in Zusammenhang stehenden Test-Restores und der Wiederanlaufpläne gelegt, da sie im Falle des Eintritts eines kritischen Ereignisses zweifellos die wichtigste Rückfallebene darstellen.