Auditierung De-Mail

Sie befinden sich hier: Home » Informationssicherheit » Auditierung De-Mail
Auditierung De-Mail2018-06-04T15:49:03+00:00

Aktueller Hinweis:

Für die Durchführung von Datenschutzprüfungen auf der Grundlage der neuen Datenschutzgrundverordnung (DSGVO) gibt es aktuell keine eindeutige Rechtsgrundlage. Einheitliche Prüfkriterien, die zwischen den Datenschutzaufsichtsbehörden und der Deutschen Akkreditierungsstelle (DAkkS) abgestimmt und von diesen genehmigt werden müssen, existieren noch nicht. Eine Konformität mit der DSGVO dürfen wir deshalb aktuell nicht bestätigen. Da unsere eigenen Datenschutzsiegel auf geltenden datenschutzrechtlichen Grundlagen basieren, dürfen wir auch diese nicht ausstellen. Wir bitten um Verständnis für diese Entscheidung.

Auditierung De-Mail

Zertifizierung von De-Mail-Anbietern nach Kriterien des BSI und der BfDI

De-Mail-Dienste sind Dienste auf einer elektronischen Kommunikationsplattform, die einen sicheren, vertraulichen und nachweisbaren Geschäftsverkehr für jedermann im Internet sicherstellen sollen. Um diesen Dienst anbieten zu können, ist eine Zertifizierung im Bereich Datenschutz und Informationssicherheit erforderlich. Erst bei Vorliegen beider Zertifikate erfolgt die Akkreditierung zum De-Mail-Diensteanbieter.

Zertifizierung der Informationssicherheit

Für die Zertifizierung der Informationssicherheit bildet die BSI TR-01201 die Grundlage und umfasst dabei Anforderungen an die Funktionalität, Interoperabilität und Sicherheit, die die DMDA erfüllen müssen, sowie die Anforderungen zur Prüfung dieser Eigenschaften.
Teil 6 der Technischen Richtlinie beschreibt spezielle Anforderungen an ein Informationssicherheitsmanagementsystem für DMDA. Die Auditierung der BSI TR-01201 (Teil 6) erfolgt daher zusammen mit der ISO27001-Zertifizierung auf Basis von IT-Grundschutz.

Das Audit im Bereich Informationssicherheit wird durch einen zertifizierten Auditor De-Mail durchgeführt. Diese Zertifizierung setzt auf der Personenzertifizierung als „Auditteamleiter für die Zertifizierung nach ISO 27001 auf der Basis von IT-Grundschutz“ auf und wird um die De-Mail-spezifischen Anforderungen ergänzt.

Zertifizierung des Datenschutzes

Die Prüfung im Bereich Datenschutz ist nur durch eine beim Unabhängigen Landeszentrum für Datenschutz (ULD) anerkannte sachverständige Prüfstelle möglich. Geprüft wird anhand eines Kriterienkataloges der Bundesbeauftragten für Datenschutz und Informationsfreiheit (BfDI). Wir führen diese Prüfung als akkreditierte sachverständige Prüfstelle durch, erstellen das erforderliche Gutachten und unterstützen Sie im gesamten Zertifizierungsverfahren.

Unsere Qualifikation ist Ihr Vorteil

Wir verfügen über diese notwendigen Qualifikationen und haben bereits die ersten drei De-Mail-Diensteanbieter erfolgreich begleitet. Damit verfügen wir über umfangreiche Erfahrungen sowie direkte Kontakte zum Bundesamt für Sicherheit in der Informationstechnik (BSI) sowie direkte Kontakte zur Bundesbeauftragten für Datenschutz und Informationsfreiheit (BfDI).

Vorteile von De-Mail

  • Sichere Identifizierung des Absenders
  • Verschlüsselte Übertragung zum Dienstleister zum Schutz vor Mitlesen und Manipulation
  • Versandbestätigung / Bestätigung der Zustellung an den Empfänger

Ablauf / Vorgehen Zertifizierung

  • Kunde veranlasst Audit
  • ggf. vorab Abstimmung des Zertifizierungsgegenstandes
  • Zertifizierungsantrag bei der jeweiligen Zertifizierungsstelle (BSI/BfDI)
  • Unabhängigkeitserklärung der Auditoren
  • Vergabe der Zertifizierungs-ID
  • Übergabe der (Referenz-)Dokumente an den Auditor/Prüfer
  • Überprüfen der grundsätzlichen Zertifizierbarkeit
  • Kurzprüfung der (Referenz-)Dokumente und ggf. einzelner Bestandteile des Zertifizierungsgegenstandes
  • Benennen von Mängeln (wenn vorhanden)
Der Auditor prüft Ihre (Referenz-)Dokumente und bewertet ihre Konformität hinsichtlich der Auditkriterien des BSI bzw. BfDI. Er bereitet in dieser Phase das Vor-Ort-Audit vor und erstellt einen Prüfplan für die Umsetzungsprüfung.
Im Rahmen der Vor-Ort-Prüfung wird die Umsetzung der (Referenz-)Dokumente geprüft. Zum Abschluss des Audits werden alle Beteiligten an der Vor-Ort-Prüfung in einem Abschlussgespräch über die Ergebnisse des Audits unterrichtet. Ggf. ergeben sich Nachbesserungen an Dokumenten und Komponenten.
  • Erstellen des Auditberichtes durch den Auditor inklusive eines Gesamtvotums zur Regelkonformität
  • Prüfung des Auditberichtes durch die jeweilige Zertifizierungsstelle (BSI/BfDI)
  • ggf. Rückfragen durch die jeweilige Zertifizierungsstelle (BSI/BfDI) an Auditor und Unternehmen
  • Nach positiver Prüfung erstellt die jeweilige Zertifizierungsstelle (BSI/BfDI) ein Zertifikat, auf dessen
    Grundlage wird ein Gesamtzertifikat für den De-Mail-Diensteanbieter durch das BSI erteilt
  • Gültigkeit des Zertifikats: 3 Jahre
Innerhalb eines Überwachungsaudits (frühestens 9 Monate nach Zertifikatserteilung) wird im Bereich Informationssicherheit geprüft, ob die Regelkonformität weiterhin besteht. Der Auditor erstellt einen Auditbericht zum Überwachungsaudit und übergibt ihn an die Zertifizierungsstelle (BSI).
Für die Verlängerung der Zertifikatsgültigkeit um weitere drei Jahre bedarf es eines Re-Zertifizierungsaudits.