Nachweisdokument P gemäß 8a Absatz 3 BSIG - Das Formular erfasst die Angaben zur Prüfung - Bund.de
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
Bundesamt für Sicherheit in der Informationstechnik
KRITIS-Büro
Postfach 200363
53113 Bonn
Nachweisdokument P gemäß § 8a Absatz 3 BSIG
Das Formular erfasst die Angaben zur Prüfung.
Es ist in folgende Abschnitte unterteilt:
Abschnitt PD enthält Angaben zur Durchführung der Prüfung
Abschnitt PE enthält Angaben zum Prüfergebnis und zu den aufgedeckten Sicherheitsmängeln
Abschnitt PS enthält Angaben zur Eignung der prüfenden Stelle und zum Prüfteam
Es ist von einem zur Unterschrift berechtigten Beschäftigten der prüfenden Stelle zu unterzeichnen.
Allgemeine Angaben zum Betreiber der Kritischen Infrastruktur
P.1 Name des Betreibers:
P.2 Betreiber-ID:
P.3 Name(n) der registrierten Anlage(n):
(bitte den/die beim BSI registrierten
Anlagennamen verwenden)
Nachweisdokument P, Version 1.0 Stand: 10.02.2021 Seite 1 von 8Abschnitt PD: Angaben zur Prüfdurchführung
In Abschnitt PD werden die Angaben zur Durchführung der Prüfung (Erstellung eines Nachweises im
Sinne von § 8a Absatz 3 BSIG) erfasst.
Ergänzend zu den Angaben in diesem Abschnitt sind folgende Anlagen beizufügen:
Anlage PD.A:
Beschreibung und grafische Darstellung des Geltungsbereichs der Prüfung1 : Alle Systeme,
Prozesse und Komponenten der kritischen Dienstleistung müssen klar ersichtlich sein. Die grafische
Darstellung des Geltungsbereichs verdeutlicht die Beschreibung, in dem sie Abgrenzungen und
Schnittstellen zu anderen Systemen/Anlagen sichtbar macht.
Anlage PD.B:
Informationen zum Ablauf der Prüfung einschließlich der Prüfthemen und der überprüften
Standorte
Anlage PD.C (optional zu PD.3):
Beschreibung der Prüfgrundlage, sofern kein oder nur teilweise ein B3S verwendet wurde, ein-
schließlich der Darstellung, wie diese die besonderen Anforderungen an Kritische Infrastrukturen
berücksichtigt
PD.1 Zeitraum und Umfang der Prüfung nach § 8a Absatz 3 BSIG
Beginn der Prüfung:
Ende der Prüfung:
Dauer der Prüfung in Personen-Prüftagen:
PD.2 Angaben zur Art der durchgeführten Prüfung
Die Überprüfung der Umsetzung von § 8a Absatz 1 BSIG wurde
als eigenständige Prüfung durchgeführt.
als Zusatz zu einer anderen Prüfung durchgeführt. (Zutreffendes bitte ankreuzen)
ISO 27001-Zertifizierung auf Basis von IT-Grundschutz2,3
ISO 27001-Zertifizierungsverfahren (nativ)3
unternehmensinternes Sicherheitsaudit
Wirtschaftsprüfung
als sonstige Prüfung durchgeführt. (bitte erläutern)
1 https://www.bsi.bund.de/dok/125936
2 bitte in PD.4 die Freigabe erteilen.
3 https://www.bsi.bund.de/dok/126684
Nachweisdokument P, Version 1.0 Stand: 10.02.2021 Seite 2 von 8Dauer der Gesamtprüfung in Personen-Prüftagen:
(falls als Zusatz- oder sonstige Prüfung durchgeführt)
PD.3 Angaben zur Prüfgrundlage
Verwendung des folgenden B3S (bitte Titel, Version und Datum angeben)
vollständig
in Teilen (Erläuterung bitte als Anlage beifügen)
Verwendung einer anderen Prüfgrundlage (Erläuterung bitte als Anlage beifügen)
PD.4 Verwendungseinverständnis zur Einsicht in die IT-Grundschutz-Zertifizierung
(nur erforderlich wenn in PD.2 „ISO 27001-Zertifizierung auf Basis von IT-Grundschutz“
angekreuzt wurde)
Der Betreiber erklärt hiermit sein Einverständnis, dass alle Unterlagen und
Informationen, die dem BSI im Rahmen der ISO 27001-Zertifizierung auf der Basis
von IT-Grundschutz durch den Betreiber oder den Auditor zur Verfügung gestellt
wurden und die der vorliegenden Nachweiserbringung gem. § 8a Absatz 3 BSIG
zugrunde liegen, zur Prüfung des vorliegenden Nachweises herangezogen werden
dürfen. Insbesondere dürfen diese Unterlagen und Informationen zu diesem
Zweck innerhalb des BSI weitergegeben werden.
Nachweisdokument P, Version 1.0 Stand: 10.02.2021 Seite 3 von 8Abschnitt PE: Angaben zum Prüfergebnis und zu den aufgedeckten
Sicherheitsmängeln
In Abschnitt PE werden die Angaben zum Prüfergebnis und zu den aufgedeckten Sicherheitsmängeln
erfasst.
Ergänzend zu den Angaben in diesem Abschnitt ist folgende Anlage beizufügen:
Anlage PE.A:
Liste der Sicherheitsmängel einschließlich Umsetzungsplan zur Behebung der Mängel 4
Die Sicherheitsmängel sollen in folgende Kategorien eingeteilt werden:
Geringfügige Abweichung
Schwerwiegende oder erhebliche Abweichung bzw. Sicherheitsmangel
Hinweise zur Reifegradbestimmung des ISMS und BCMS in diesem Abschnitt
Bei den Angaben zu den Reifegraden handelt es sich ausschließlich um eine oberflächliche Einschät-
zung des Prüfteams. Dabei sollen die Reifegrade von ISMS und BCMS ausdrücklich nur innerhalb des
Geltungsbereiches der Prüfung, also mit Blick auf die Sicherstellung der kritischen Dienstleistung, be-
urteilt werden. Die Einteilung in Reifegrade in diesem Nachweisformular orientiert sich an klassi-
schen Reifegradmodellen, eine Reifegradbestimmung nach wissenschaftlichen Methoden ist jedoch
nicht gefordert. Vielmehr soll das Prüfteam eine grobe Einschätzung zur Frage, wie stark die Prozesse
für das ISMS und das BCMS bereits im Unternehmen verankert sind und gelebt werden, in Form der
Reifegrade abgeben. Zur Beurteilung, ob die Reifegrade 4 oder 5 erreicht werden, ist der Blick auf die
in der Vergangenheit durchgeführten Maßnahmen bzw. Überprüfungen zu richten. Damit ergibt sich
implizit, dass ein neu eingerichtetes ISMS oder BCMS, in dem Prozesse zur Messung und zur kontinu-
ierlichen Verbesserung zwar verankert sind, aber bisher noch nicht mehrfach durchlaufen wurden,
diese Reifegrade noch nicht erreichen kann.
PE.1 Reifegrad des ISMS
1. Bewertung des Reifegrads:
1 ISMS ist geplant, aber nicht etabliert.
2 ISMS ist zum Teil etabliert.
3 ISMS ist etabliert und dokumentiert.
4 Zusätzlich zum Reifegrad 3 wurde das ISMS regelmäßig auf Effektivität überprüft.
5 Zusätzlich zum Reifegrad 4 wurde das ISMS regelmäßig verbessert.
2. Begründung der vorgenommenen Bewertung des Reifegrads des ISMS:
4 https://www.bsi.bund.de/OHNachweise (Muster für eine Mängelliste in Anhang D)
Nachweisdokument P, Version 1.0 Stand: 10.02.2021 Seite 4 von 8PE.2 Reifegrad des BCMS
1. Bewertung des Reifegrads:
1 BCMS ist geplant, aber nicht etabliert.
2 BCMS ist zum Teil etabliert.
3 BCMS ist etabliert und dokumentiert.
4 Zusätzlich zum Reifegrad 3 wurde das BCMS regelmäßig auf Effektivität überprüft.
5 Zusätzlich zum Reifegrad 4 wurde das BCMS regelmäßig verbessert.
2. Begründung der vorgenommenen Bewertung des Reifegrads des BCMS:
Nachweisdokument P, Version 1.0 Stand: 10.02.2021 Seite 5 von 8Abschnitt PS: Angaben zur Eignung der prüfenden Stelle und des Prüfteams
In Abschnitt PS werden die Angaben zur Eignung der prüfenden Stelle und des Prüfteams erfasst.
Ergänzend zu den Angaben in diesem Abschnitt sind folgende Anlagen beizufügen:
Anlage PS.A:
Nachweis(e) der Qualifikation „zusätzliche Prüfverfahrenskompetenz für § 8a BSIG“ oder
gleichwertiger Kompetenznachweis (z. B. Selbsterklärung) für jeweils eine/-n
– Mitarbeiter/-in der prüfenden Stelle
– Mitarbeiter/-in des Prüfteams
Anlage PS.B:
Unabhängigkeitserklärung für alle Mitglieder des Prüfteams
PS.1 Name und Organisationseinheit
der prüfenden Stelle:
PS.2 Anschrift der prüfenden Stelle:
PS.3 Angaben zur Eignung der prüfenden Stelle:
DAkkS-Akkreditierung 5
Zertifizierung als IT-Sicherheitsdienstleister beim BSI
Anerkennung als Prüfstelle beim BSI
QA-Zertifizierung gemäß DIIR, IIA oder gleichwertige5
Wirtschaftsprüfer/Wirtschaftsprüfungsgesellschaft5
Selbsterklärung gegenüber dem BSI
PS.4 Nachweis der zusätzlichen Prüfverfahrenskompetenz der prüfenden Stelle für § 8a BSIG
Mindestens ein Beschäftigter der prüfenden Stelle, der die vorliegende Prüfung bearbeitet
hat, hat
die Qualifikation „zusätzliche Prüfverfahrenskompetenz für § 8a BSIG“ nachge-
wiesen.
einen gleichwertigen Kompetenznachweis erbracht.
(Siehe Anlage PS.A.)
5 wie in der Orientierungshilfe zu Nachweisen gemäß § 8a Absatz 3 BSIG, Abschnitt 3.2.1, beschrieben.
Nachweisdokument P, Version 1.0 Stand: 10.02.2021 Seite 6 von 8PS.5 Nachweis der zusätzlichen Prüfverfahrenskompetenz des Prüfteams für § 8a BSIG
Mindestens ein Mitglied des Prüfteams hat
die Qualifikation „zusätzliche Prüfverfahrenskompetenz für § 8a BSIG“ nachge-
wiesen.
einen gleichwertigen Kompetenznachweis erbracht.
(Siehe Anlage PS.A.)
PS.6 Angaben zum Prüfteam – Zusammensetzung und Abdeckung aller Kompetenzbereiche
Prüfer Kompetenzbereiche Zusätzliche
Prüfverfahrens-
kompetenz
Nr. Name, Organisation Prüf- Audit IT- Bran- Zusatz- Gleich-
Vorname anteil Sicher che qualifi- wertige
in % heit kation Komp.
1
2
3
4
5
Nachweisdokument P, Version 1.0 Stand: 10.02.2021 Seite 7 von 8Erklärungen
Hiermit bestätige ich, dass im Rahmen der durchgeführten Prüfung die in P.3 aufgeführten
Anlagen vollständig abgedeckt wurden. Art und Umfang der Prüfung (Dokumenten-, Vor-Ort-,
Stichprobenprüfung) der jeweiligen Anlage oder deren Teile wurden im Prüfplan kenntlich
gemacht. Relevante Schnittstellen wurden berücksichtigt.
Ich bestätige, dass der Betreiber zum Zeitpunkt der Prüfung unter Einhaltung des Stands der
Technik angemessene organisatorische und technische Vorkehrungen zur Vermeidung von
Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit der informations-
technischen Systeme, Komponenten oder Prozesse getroffen hat, die für die Funktionsfähigkeit
der Anlagen bzw. Kritischen Infrastrukturen maßgeblich sind und damit die Anforderungen des
§ 8a Absatz 1 BSIG erfüllt. Die im Rahmen der Prüfung identifizierten hiervon abweichenden
Feststellungen sind aus der beigefügten Liste der Sicherheitsmängel ersichtlich.
Hiermit erkläre ich, dass das Prüfteam über alle notwendigen Kompetenzen zur Durchführung
der Prüfung verfügt (vgl. Orientierungshilfe zu Nachweisen gemäß § 8a Absatz 3 BSIG).
Ich erkläre außerdem, dass die in der Orientierungshilfe zu Nachweisen gemäß § 8a Absatz 3 BSIG
aufgeführten Prinzipien und Vorgaben zur „Berufsethik“ durch das Prüfteam eingehalten bzw.
erfüllt werden. Insbesondere liegt eine Unabhängigkeitserklärung für alle Mitglieder des Prüf-
teams vor.
Die datenschutzrechtlichen Hinweise zur Erhebung von Daten im Nachweisdokument P gemäß
§ 8a Absatz 3 BSIG sind mir bekannt.
__________________________________________ __________________________________________
Ort Datum
__________________________________________ __________________________________________
Name Stempel und Unterschrift der prüfenden Stelle
(in Druckbuchstaben) (zur Unterschrift berechtigte Person)
Nachweisdokument P, Version 1.0 Stand: 10.02.2021 Seite 8 von 8Sie können auch lesen
