IT-Grundschutz-Profil für Kommunen
Das IT-Grundschutz-Profil für Kommunen bietet kleinen und mittleren Kommunalverwaltungen einen pragmatischen Einstieg in ein systematisches Informationssicherheitsmanagement. Es basiert auf den Standards des BSI (Bundesamt für Sicherheit in der Informationstechnik) und ist speziell auf die Anforderungen kommunaler Strukturen abgestimmt.
Über die KooCom GmbH werden keine Testate ausgestellt. Wir erstellen ausschließlich Bescheinigungen der vollständigen Implementierung nach IT-Grundschutz für Kommunen von einem für ISO/IEC27001 zertifizierten Auditor als Nachweis i.S. Nr. 6.6.1 ISMS-R ausgestellt werden.
Mit der erfolgreichen Umsetzung des IT-Grundschutz-Profils wird nachgewiesen, dass:
- eine strukturierte Informationssicherheitsorganisation aufgebaut wurde
- zentrale IT-Risiken erkannt und behandelt wurden,
- grundlegende Sicherheitsanforderungen nach BSI-Standards umgesetzt wurden.
Welche Verwaltungen profitieren davon?
Kommunen, Zweckverbände und kommunale Betriebe, die:
- ein nachvollziehbares Sicherheitsniveau nachweisen wollen
- eine strukturierte, aber schlanke Vorgehensweise bevorzugen
- ihre gesetzlichen Pflichten zur Informationssicherheit erfüllen möchten,
- über begrenzte interne Ressourcen verfügen und dennoch systematisch vorgehen wollen..
Ablauf IT-Grundschutz-Profil für Kommunen
- Kontaktaufnahme
- Start im Auditdesk
- Erstellung eines Angebots
- Bestätigung des Angebots
- Kontaktaufnahme durch den Auditor und Abstimmung des Auditablaufs
Unsere Kompetenz für Ihr IT-Grundschutz Profil für Kommunen
Praxisnah & kommunal orientiert
Unsere Auditoren kennen die besonderen Herausforderungen in Kommunen. Wir prüfen realitätsnah, nachvollziehbar und mit einem Blick für praktikable Lösungen.
Strukturiertes Vorgehen mit System
Die Bescheinigungen der vollständigen Implementierung erfolgt auf Basis des Grundschutz-Profils, ergänzt durch strukturierte Prüfschritte und klare Kriterien. So ist der Weg transparent und planbar.
Effizient & schlank
Unsere Auditprozesse sind auf kleine und mittlere Verwaltungsstrukturen zugeschnitten und mit möglichst geringem Aufwand für Sie, aber hoher Aussagekraft der Ergebnisse.
Sicherheit mit Wirkung
Eine Bescheinigung der vollständigen Implementierung bestätigt nicht nur die Umsetzung technischer Maßnahmen, sondern die Etablierung eines lebendigen Informationssicherheitsprozesses - mit dauerhaftem Nutzen für Ihre Organisation.
Ablauf IT-Grundschutz-Profil für Kommunen
Unsere Arbeit basiert auf einem klaren Werteverständnis, das sich
in jedem Schritt unserer Prüfprozesse widerspiegelt:
Kontaktaufnahme
Sie können uns ganz einfach über unsere Webseite, telefonisch oder per E-Mail kontaktieren. Wir geben Ihnen alle wichtigen Erstinformationen und beantworten gerne Ihre Fragen. Wenn Sie direkt ein kostenloses und unverbindliches Angebot wünschen, schauen Sie bitte im nächsten Schritt.
Start im Auditdesk
So geht´s:
- Registrieren Sie sich im Auditdesk. Nach erfolgreicher Registrierung, erhalten Sie Erstinformationen vorab per E-Mail.
- Wählen Sie die gewünschte Auditart aus und beantworten Sie die Fragen im Auditdesk, sie bilden die Grundlage für eine realistische Planung und ein passgenaues Angebot.
- Sobald Ihr individuelles Angebot vorliegt, finden Sie es direkt in Ihrem persönlichen Bereich des Auditmanagers und erhalten hierüber eine Information per E-Mail.
- Sind Sie zufrieden? Dann bestätigen Sie das Angebot direkt über den Auditmanager.
- Sobald das Angebot angenommen wurde, nimmt der Auditor Kontakt mit Ihnen auf. Auf Grundlage der Auditkalkulation wird anschließend der konkrete Ablauf des Audits mit Ihnen abgestimmt.
Bei Fragen oder Unterstützung hilft Ihnen unser Team gerne weiter. Kontaktieren Sie uns über unser Kontaktformular.
Auditoren
Kreis möglicher Auditoren Die Umsetzung und Überprüfung der vollständigen Implementierung nach den Vorgaben des Bundesamts für Sicherheit in der Informationstechnik (BSI) ist zwingende Voraussetzung für die Gewährung einer Zuwendung (vgl. Nr. 4 ISMS-R). Die Überprüfung der vollständigen Implementierung hat grundsätzlich durch einen zugelassenen Grundschutzauditor zu erfolgen. Wird durch die Kommune im jeweiligen Umsetzungsprojekt auf das Testat-Verfahren verzichtet, kann die Bescheinigung der vollständigen Implementierung einer Basis-Absicherung nach IT-Grundschutz von einem für ISO/IEC27001 zertifizierten Auditor als Nachweis i.S. Nr. 6.6.1 ISMS-R anerkannt werden. Um die Neutralität zu gewährleisten, hat die Auditierung durch einen nicht mit der Beratung und Begleitung bei der Implementierung gem. Nr. 5.2 Buchst. a ISMSR für die geförderte Maßnahme betrauten Auditor zu erfolgen.
Audit in drei Phasen
Dokumentenprüfung:
Hier werden die relevanten Dokumente, die zur IT-Sicherheit im jeweiligen Kommunalprofil gehören, geprüft. Dazu gehören unter anderem das Sicherheitskonzept, organisatorische Regelungen und technische Dokumentationen.
Prüfung des Informationsverbunds:
Diese Phase konzentriert sich auf die Untersuchung der Struktur und der Zusammenhänge innerhalb des Informationsverbunds, um dessen Sicherheit zu bewerten.
Bausteinprüfung:
In dieser Phase werden die implementierten Sicherheitsmaßnahmen anhand der BSI IT-Grundschutz-Bausteine überprüft.
Auditbericht und Bewertung
Nach dem Audit erstellt das Auditteam einen Bericht mit allen Feststellungen und Bewertungen. Kleinere Abweichungen können im Nachgang behoben werden und führen nicht automatisch dazu, dass das Audit als nicht bestanden gilt.
Abweichungen im Audit
Transparenz durch nachvollziehbare Bewertung
Im Rahmen des Audits werden mögliche Abweichungen zwischen Soll- und Ist-Zustand systematisch erfasst und bewertet. Dabei wird zwischen drei Kategorien unterschieden:
Empfehlung
Hinweis auf mögliche Verbesserungen, die über die Mindestanforderungen hinausgehen. Empfehlungen haben keinen Einfluss auf die Bescheinigung der vollständigen Implementierung, können aber zur Optimierung beitragen.
Nebenabweichung
Eine Nebenabweichung ist eine Abweichung von Anforderungen, die nicht unmittelbar sicherheitskritisch ist. Die Bescheinigung der vollständigen Implementierung ist möglich, wenn geeignete Korrekturmaßnahmen innerhalb einer festgelegten Frist nachgewiesen werden.
Hauptabweichung
Schwerwiegender Mangel, bei dem zentrale Anforderungen des IT-Grundschutz-Profil für Kommunen nicht erfüllt sind. Eine Bescheinigung der vollständigen Implementierung ist in diesem Fall nicht möglich, bis die Abweichung behoben und in einem Nachaudit überprüft wurde.
Alle Feststellungen werden dokumentiert und bilden die Grundlage für weitere Verbesserungen der Informationssicherheit.
Prüfaufwand
- Bei bis zu 250 IT-Arbeitsplätzen: 1,5 Tage
- Bei mehr als 250 IT-Arbeitsplätzen: 2 Tage
Prüfumfang
Eine Bescheinigung der vollständigen Implementierung nach dem IT-Grundschutz-Profil für Kommunen setzt voraus:
- Anwendungsbereich: Das Profil muss auf die gesamte Kommune oder auf definierte Organisationseinheiten (z. Rathaus, Kämmerei) angewendet werden.
- IT-Verbund: Die betrachteten IT-Systeme und Anwendungen müssen im Profil adressiert sein.
- Basis-Absicherung: Es müssen alle dort definierten Anforderungen (inkl. der konkret benannten Bausteine) umgesetzt sein.
- Dokumentation: Alle Sicherheitsmaßnahmen müssen dokumentiert und nachvollziehbar sein.
- Managementeinbindung: Die Leitung muss den Schutzbedarf bestätigen und das ISMS mittragen.
- Wirksamkeit: Die umgesetzten Maßnahmen müssen im praktischen Betrieb wirksam sein (Nachweis z. durch internes Audit).
Sie möchten den nächsten Schritt gehen?
Unser Anspruch: Qualität und Nachvollziehbarkeit
Unsere Audits basieren auf den Prinzipien der ISO 19011. Wir prüfen neutral, unabhängig und mit dem Ziel, Ihre Organisation wirksam zu stärken – nicht nur formale Anforderungen abzuhaken.
Worauf Sie sich verlassen können
Unsere Audits folgen den Prinzipien der ISO 19011 und erfüllen höchste Anforderungen an Qualität, Objektivität und Nachvollziehbarkeit. Vertraulichkeit und ein respektvoller Umgang mit sensiblen Informationen sind für uns selbstverständlich. Unsere Auditorinnen und Auditoren sind fachlich qualifiziert, erfahren und neutral.