Suchen

Definition VdS 10000 Was ist VdS 10000?

| Autor / Redakteur: Dipl.-Ing. (FH) Stefan Luber / Peter Schmitz

Die Richtlinie VdS 10000 enthält Vorgaben und bietet konkrete Hilfestellungen zur Implementierung eines Informations­sicherheits­management­systems speziell für kleine und mittlere Unternehmen (KMU). Zudem werden konkrete Maßnahmen beschrieben, mit denen sich die IT-Infrastrukturen dieser Unternehmen absichern lassen, um ein angemessenes Schutzniveau zu erreichen. Die VdS 10000 löst den Vorgängerstandard VdS 3473 ab.

Firmen zum Thema

Die Richtlinie VdS 10000 enthält Vorgaben für den Aufbau eines ISMS speziell für KMU.
Die Richtlinie VdS 10000 enthält Vorgaben für den Aufbau eines ISMS speziell für KMU.
(Bild: gemeinfrei / Pixabay )

Der Titel der Richtlinie VdS 10000 lautet "Informations­sicherheits­management­system für kleine und mittlere Unternehmen (KMU)". Die Richtlinie wurde von der VdS Schadenverhütung GmbH entwickelt und veröffentlicht. Sie löste im Jahr 2018 den Vorgängerstandard VdS 3473 ab. Die VdS Schadenverhütung GmbH ist eine hundertprozentige Tochter des Gesamtverbands der Deutschen Versicherungswirtschaft e.V. (GDV) und das größte Institut für Unternehmenssicherheit Europas. Inhalt der VdS 10000 sind Vorgaben und konkrete Hilfestellung zur Implementierung eines Information Security Management Systems (ISMS) speziell in kleinen und mittleren Unternehmen. Zudem werden konkrete Maßnahmen beschrieben, mit denen sich die IT-Infrastrukturen dieser Unternehmen absichern lassen, um ein angemessenes Schutzniveau zu erreichen.

Die Richtlinie wurde mit der Zielsetzung entwickelt, KMUs finanziell und organisatorisch nicht zu überfordern, aber dennoch ein angemessenes Schutzniveau zu erreichen. Zu ISO/IEC 27001 und zum IT-Grundschutz ist die Richtlinie aufwärtskompatibel, aber mit wesentlich weniger Aufwand verbunden. Sie ist quasi eine Teilmenge der Basis-Absicherung des IT-Grundschutzes und kann als Ausgangsbasis zur Implementierung eines ISMS nach ISO 27001 verwendet werden. Unternehmen können sich in wenigen Schritten nach VdS 10000 zertifizieren lassen. Im Vergleich zum Vorgängerstandard VdS 3472 wurden einige Details verbessert, Begrifflichkeiten angepasst oder verändert und Fehler behoben. Die Richtlinie VdS 10000 steht der Öffentlichkeit kostenlos zur Verfügung und ist branchenneutral. Eine Ergänzung zu VdS 10000 ist VdS 10020, bei der es sich um einen Leitfaden zur Umsetzung und Interpretation der Richtlinie für Industrielle Automatisierungssysteme handelt.

Inhalt der Richtlinie

Die VdS 10000 ist insgesamt 43 Seiten lang. Von diesen 43 Seiten enthalten 29 Seiten konkrete Empfehlungen und Maßnahmen. Die Verbindlichkeit der Empfehlungen und Maßnahmen ist durch die Begriffe "kann", "sollte nicht", "sollte", "darf nicht" und "muss" geregelt. Bei den in der Richtlinie benannten IT-Ressourcen wird zwischen den beiden Stufen "kritisch" und "nicht kritisch" unterschieden. Für nicht kritische Ressourcen ist ein einfacher Basisschutz ausreichend. Zur Absicherung kritischer Ressourcen sind laut VdS 10000 erweiterte Sicherheitsmaßnahmen notwendig und individuelle Risikoanalysen sowie Risikobehandlungen durchzuführen. Ebenfalls Inhalt der Richtlinie ist die Etablierung einer Sicherheitsleitlinie und kontinuierlicher Verbesserungsprozesse.

Zertifizierung nach VdS 10000

Die Zertifizierung nach VdS 10000 erfolgt in der Regel in diesen drei Schritten:

  • 1. Webbasierte Selbstauskunft mit Fragen zu den verschiedenen Handlungsfeldern
  • 2. Quick-Audit durch unabhängige Auditoren vor Ort zur Prüfung des Stands der Informationssicherheit
  • 3. Eigentliche Zertifizierung durch die VdS-Zertifizierungsstelle

Vorteile einer Zertifizierung nach VdS 10000

Zertifizierte kleine und mittlere Unternehmen profitieren unter anderem von diesen Vorteilen:

  • Nachweis, dass das Unternehmen technisch und organisatorisch auf die wichtigsten Angriffsszenarien vorbereitet ist und über geeignete Abwehr- und Schutzmaßnahmen verfügt
  • bessere Transparenz bei bestehenden Risiken
  • einfachere Übertragung der Restrisiken an Versicherer
  • höheres Vertrauen in das Unternehmen bei Kunden, Geschäftspartnern, Lieferanten und Versicherern
  • Wettbewerbsvorteile gegenüber der Konkurrenz

(ID:46557537)

Über den Autor