Kontakt

Fragen und Antworten

Bestimmte Fragen erreichen uns immer wieder.
Antworten auf die meistgestellten Fragen gibt es hier.

Wer erstellt VdS-Richtlinien?

Ursprung aller Zertifizierungen, Anerkennungen und Testierungen sind die VdS-Richtlinien. Diese werden von einem Expertenteam entwickelt, dem Mitglieder von verschiedenen interessierten Parteien angehören. Im Fall der VdS-Richtlinien zur Informationssicherheit und zum Datenschutz sind das IT-Spezialisten mit langjähriger Erfahrung, Mitarbeiter von Systemhäusern, Versicherungen, Behörden, Verbänden und Beratungsunternehmen und natürlich von VdS Schadenverhütung selbst. So ist sichergestellt, dass die Erwartungen und Bedürfnisse aller Organisationen berücksichtigt werden.

Dabei unterscheiden wir Anforderungsrichtlinien und Verfahrensrichtlinien.

Was ist der Unterschied zwischen Verfahrens- und Anforderungsrichtlinien?

Mit den Anforderungsrichtlinien werden die Kriterien beschrieben, die zum Erreichen einer Qualifikation (z. B. Zertifikat, Testat, Anerkennung) erfüllt sein müssen. Unterteilt in verschiedene Abschnitte enthalten sie die konkreten Anforderungen, die es in der Organisation umzusetzen gilt. Einige Richtlinien unterscheiden MUSS- und SOLLTE-Anforderungen, wobei letztere nicht in die Bewertung des Ist-Zustandes während einer Auditierung eingehen, aber Empfehlungscharakter besitzen. Sie erkennen die Anforderungsrichtlinien zur Cyber-Security daran, dass deren fünfstellige Nummer auf eine Null oder Fünf endet.

Mit den Verfahrensrichtlinien wird der Weg beschrieben, wie der Nachweis einer Qualifikation erlangt werden kann, also der praktische Ablauf von der Auftragserteilung über die eigentliche Prüfung/Auditierung bis hin zur Ausstellung der jeweiligen Urkunde. Diese Richtlinien werden VdS-intern von der jeweils zuständigen Fachabteilung erstellt und kostenfrei zur Verfügung gestellt.

Sind die Richtlinien der VdS 10000er-Reihe kostenpflichtig?

Ja und nein.
Die Anforderungsrichtlinien der VdS 10000er-Reihe sind kostenpflichtig und können über unseren VdS-Richtlinien Shop erworben werden. Die dazugehörigen Verfahrensrichtlinien sind kostenfrei.

Erfüllt die VdS 10000-Zertifizierung die gesetzlichen Anforderungen an KRITIS-Unternehmen?

Die VdS 10000 Richtlinien legen die Mindestanforderungen an die Informationssicherheit fest und beschreiben ein auf kleine und mittlere Unternehmen (KMU) zugeschnittenes Informationssicherheitsmanagementsystem (ISMS). Die gesetzlichen Anforderungen für kritische Infrastrukturen (KRITIS) werden mit einer VdS 10000 Zertifizierung nicht erfüllt.

Was ist der Geltungsbereich/Scope?

Der Geltungsbereich ist eine klare Definition, die festlegt, in welchen Bereichen und für welche Prozesse oder Dienstleistungen die festgelegten Standards und Anforderungen einer Norm oder Richtlinie Gültigkeit haben.
Er legt fest, welche Prozesse, Produkte, Dienstleistungen oder Organisationseinheiten in den Verantwortungsbereich der jeweiligen Norm oder Richtlinie fallen und daher den spezifischen Anforderungen unterliegen. Das bedeutet, welche Wertschöpfungsprozesse, Produkte oder Dienstleistungen des Unternehmens von den Schutzmaßnahmen und Anforderungen erfasst werden.

Weiterhin hilft der Geltungsbereich verschiedenen Interessengruppen, wie z.B. Kunden oder Lieferanten, zu verstehen, auf welche Prozesse die jeweiligen Richtlinien zutreffen und welchen Umfang die Einhaltung dieser Vorgaben hat.

Wie definiert man den Geltungsbereich/Scope?

Die Definition des Geltungsbereichs ist ein wichtiger Schritt bei der Implementierung von Normen und Standards. Sie sorgt für Klarheit darüber, welche Teile des Unternehmens von den Vorgaben betroffen sind und stellt sicher, dass die entsprechenden Anforderungen erfüllt werden.

Um den Geltungsbereich (Scope) zu definieren, sollte man folgende Schritte durchführen:

Identifizieren Sie die Kernprozesse in Ihrem Unternehmen, die unmittelbar zur Wertschöpfung beitragen.
Überlegen Sie, welche Informationen in diesen Wertschöpfungsprozessen eine hohe Bedeutung haben. Das können sensible Daten, geistiges Eigentum oder andere wichtige Ressourcen sein.
Analysieren Sie, welche dieser Informationen besonders schutzbedürftig sind. Welche Informationen oder Ressourcen dürfen auf keinen Fall verloren gehen, verändert werden oder unzugänglich sein?

Ein Blick in den Handelsregistereintrag des Unternehmens kann ebenfalls hilfreich sein. Der Unternehmensgegenstand gibt Aufschluss über den Schwerpunkt der Geschäftstätigkeit, der oft auch als Geltungsbereich verwendet werden kann, insbesondere dann, wenn der Geltungsbereich das gesamte Unternehmen abdecken soll.

Beispiele für die Definition eines Geltungsbereichs:

Die Entwicklung, Bereitstellung und Wartung von Softwarelösungen für Kunden in verschiedenen Branchen, einschließlich der Verwaltung von Kundendaten, Verträgen und Marketingstrategien.
Die Erbringung von Logistikdienstleistungen für externe Kunden, einschließlich der Planung, Steuerung und Überwachung von Transporten, Lagerhaltung und Zollabwicklung.
Die Bereitstellung von Bildungsdienstleistungen in Form von Schulungen, Kursen und Workshops in den Bereichen Gesundheit, Sicherheit und Umweltschutz für Unternehmen und Einzelpersonen.
Die Fertigung und Montage von Elektronikkomponenten und Leiterplatten für die Automobilindustrie, einschließlich Prüfung, Qualitätssicherung und Just-in-Time-Lieferung.

Wer kann uns bei der Einführung eines Managementsystems nach VdS 10000 helfen?

Aufgrund des Gebotes der Funktionstrennung dürfen unsere Auditoren keine Beratungsdienstleistungen durchführen, da ein Auditor niemals seine eigene Arbeit auditieren darf.
Wir empfehlen, bei der Einführung eines Managementsystems auf unser Berater-Netzwerk zurückzugreifen: