Der British Standard 7799 ist eine Norm für die Auditierung und -->Zertifizierung von IT-Systemen, die in der jetzigen Form der Öffentlichkeit im April 1999 vorgestellt wurde. Der unter der Abkürzung BS 7799 bekannte Standard dient der begutachtenden Wertung der Sicherheit von IT-Systemen. Er wird auch außerhalb Großbritanniens genutzt und soll zu einer internationalen Norm werden.
Im Gegensatz zu anderen Wertungssystemen, z. B. solchen, die Hardwarequalitätsaussagen treffen, hat der BS 7799 das Hauptziel, einen Prüfstandard für das Management der IT-Sicherheit zu liefern. Dies bedeutet, dass nicht jede einzelne Anwendung, jedes einzelne Subsystem oder jede Datei auf das spezifische Risiko, hervorgerufen durch Bedrohungen und/oder Risikopotential, abgeprüft wird, sondern dass vielmehr untersucht wird, welche Schwächen ein gesamtes System hat und wie IT-Sicherheit gehandhabt d.h. gemanagt wird.
Der BS 7799 stellt einen Prüfstandard für folgende Großgebiete dar:
1 Sicherheitspolitik
1.1 Informationssicherheitspolitik
2 Organisation der Sicherheit
2.1 Infrastruktur der Informationssicherheit
2.2 Sicherheit beim Zugang durch Fremdunternehmen
2.3 Outsourcing
3 Einstufung und Kontrolle der Werte
3.1 Zurechenbarkeit für Werte
3.2 Einstufung von Informationen
4 Personelle Sicherheit
4.1 Sicherheit bei der Stellenbeschreibung und bei der Bereitstellung
von Ressourcen
4.2 Benutzerschulung
4.3 Verhalten bei Sicherheitsvorfällen und Störungen
5 Physische und umgebungsbezogene Sicherheit
5.1 Sicherheitszonen
5.2 Sicherheit der Geräte
5.3 Allgemeine Maßnahmen
6 Management der Kommunikation und des Betriebs
6.1 Betriebsverfahren und -verantwortlichkeiten
6.2 Systemplanung und -abnahme
6.3 Schutz vor bösartiger Software
6.4 Haushaltsorganisation
6.5 Netzwerkmanagement
6.6 Umgang mit und Sicherheit von Datenträgern
6.7 Austausch von Informationen und Software
7 Zugangskontrolle
7.1 Geschäftsanforderungen an die Zugangskontrolle
7.2 Verwaltung der Zugriffsrechte der Benutzer
7.3 Verantwortung der Benutzer
7.4 Netzzugriffskontrolle
7.5 Kontrolle des Betriebssystemzugriffs
7.6 Zugriffskontrolle für Anwendungen
7.7 Überwachung von Systemzugriff und Systembenutzung
7.8 Mobile Computing und Telearbeit
8 Systementwicklung und -wartung
8.1 Sicherheitsanforderungen an Systeme
8.2 Sicherheit in Anwendungssystemen
8.3 Kryptographische Maßnahmen
8.4 Sicherheit von Systemdateien
8.5 Sicherheit bei Entwicklungs- und Supportprozessen
9 Management des kontinuierlichen Geschäftsbetriebs
9.1 Aspekte zur Aufrechterhaltung des Geschäftsbetriebs
9 Einhaltung der Verpflichtungen
10.1 Einhaltung gesetzlicher Verpflichtungen
10.2 Überprüfungen der Sicherheitspolitik und der Einhaltung
technischer Normen
10.3 Überlegungen zum Systemaudit
Diese Großgebiete werden im BS 7799 noch weiter untergliedert und bilden eine Grundlage für die Vorbereitung der Auditierung - einen möglicherweise vorgeschalteten Checkup - , für die Auditierung selbst und für die Zertifizierung. Die Erteilung eines Zertifikates ist nach dem Grundkonzept akkreditierten Institutionen vorbehalten.
Für eine checklistengestützte Vorbereitung ist es zweckmäßig, die BS 7799-Unterlage aufzubereiten und sie für die Vorbereitung eines nachfolgenden Auditierungsprozesses einer formalen Überarbeitung zu unterziehen Mit Hilfe eines Checklistensystems - im Aufbau analog zum BS 7799 - kann ein unternehmensinternes Team einen Checkup der IT-Sicherheit des Unternehmens durchführen und damit eine folgende Auditierung effizienter gestalten, da dann weniger Mängel zu erwarten sind.
Mit der Durchführung eines Checkups zur Vorbereitung einer Prüfung gem. BS 7799 können auch Externe beauftragt werden, wenn unternehmensintern die Manpower und gegebenenfalls Sachkenntnis zur Durchführung eines solchen Vorhabens nicht zu Verfügung stehen. Hierbei ist es nach den Bedingungen der TGA (Trägergesellschaft für Akkreditierung) erforderlich, dass die Vorbereitung auf eine Auditierung und Zertifizierung nicht von dem zertifizierenden Unternehmen durchgeführt wird. Unerlässlich ist allerdings, dass auch die Vorbereitung - sofern sie durch Externe durchgeführt wird - durch kompetente Fachleute erfolgt.
Die Vorbereitung für die hausinterne oder auch externe Prüfung des IT-Sicherheitssystems sollte durch Schulungen über den Umgang mit dem BS 7799 geschehen (siehe Abbildung zur Vorgehensweise). Wesentlich ist ein auf höchster Ebene gefällter Entscheid über die Durchführung des Auditierungs- und Zertifizierungsverfahrens. Hier sollte im Sinne einer Kosten-/Nutzenüberlegung auch in Betracht gezogen werden, dass ein solcher Prozess nicht nur Kosten verursacht sondern auch einen vielfachen internen und externen Nutzen hat. Zum internen Nutzen zählt, dass eine objektive und umfassende Prüfung der IT-Sicherheit des Unternehmens durchgeführt wird und damit Klarheit über den Zustand des Sicherheitssystems geschaffen wird. Eine objektive Bestätigung der Sicherheit des IT-Systems durch Externe als Beleg für die Kompetenz und Vertrauenswürdigkeit eines Unternehmens und seiner Informationsverarbeitung ist von beachtlicher Werbe- und Außenwirkung.
Vorgehensweise bei der Auditierung und Zertifizierung
(Neu aufgenommen am 2.7.2000)
(Voßbein, Reinhard, Prof. Dr., 
UIMC Dr. Voßbein GmbH & Co. KG. , Wuppertal)