IT-Sicherheit: Zertifizierung von Personen beantragen

Leistungsbeschreibung

Wenn Sie sich im Bereich IT-Sicherheit qualifizieren möchten und Ihre Fachkunde belegen wollen, können unter bestimmten Voraussetzungen eine Zertifizierung beantragen.

Als zentrale Zertifizierungsstelle für IT-Sicherheit in Deutschland bietet das Bundesamt für Sicherheit in der Informationstechnik (BSI) Ihnen derzeit 9 Zertifizierungen, die Ihre Fachkunde rund um die Technischen Richtlinien des BSI belegen. Die Zertifizierungen richten sich in der Regel an Mitarbeiterinnen und Mitarbeiter von IT-Sicherheitsdienstleistern.

  • Auditteamleiterin oder Auditteamleiter für ISO 27001-Audits auf der Basis von IT-Grundschutz
    • Als Inhaberin beziehungsweise Inhaber dieses Zertifikats überprüfen Sie die technischen und organisatorischen Maßnahmen von Behörden oder Unternehmen.
    • Sie erstellen Auditberichte, die Grundlage für die Zertifizierung von Behörden oder Unternehmen durch das BSI sind.
    • Die Zertifizierung als Auditteamleiterin oder Auditteamleiter richtet sich an Mitarbeiterinnen und Mitarbeiter von akkreditierten Stellen.
  • Auditorin oder Auditor De-Mail
    • Über De-Mail werden Nachrichten und Dokumente zuverlässig und vor Veränderungen geschützt elektronisch versendet.
    • Mit Ihrem Status als zertifizierte Person überprüfen Sie unter anderem, ob De-Mail-Diensteanbietende die Sicherheitsvorgaben einhalten.
    • Sie müssen bereits als Auditteamleiterin oder Auditteamleiter zertifiziert sein, um die Zertifizierung für De-Mail-Audits zu erhalten.
  • Informationssicherheits-Revisorin oder -Revisor (IS-Revisor)
    • Sie unterstützen Organisationen bei der Erstellung und Umsetzung von Sicherheitskonzepten sowie bei der Durchführung von IS-Revisionen.
  • Auditorin oder Auditor Secure CA Operation:
    • Sie auditieren unter anderem Sicherheitsmaßnahmen für das Verwalten und Ausstellen von digitalen Zertifikaten (Certification Authority - CA). Diese sind eine zentrale Grundlage für sicheren elektronischen Austausch von verschlüsselten Dokumenten.
  • Auditorin oder Auditor Smart Meter Gateway Administration
    • Sie auditieren den Betrieb und die Administration von intelligenten Informationsnetzen bei der Energieversorgung und arbeiten an einem zentralen Baustein der Energiewende.
  • Auditorin und Auditor Sicherer E-Mail Transport
    • Sie prüfen unter anderem, wie E-Mail-Diensteanbieter die entsprechende Technische Richtlinie des BSI umgesetzt haben.
  • Auditor oder Auditorin RESISCAN
    • Mit dem ersetzenden Scannen (RESISCAN) digitalisieren Justiz, Behörden oder Wirtschaft Dokumente wie zum Beispiel Akten. Ziel ist, dass diese nicht mehr auf Papier vorgehalten werden müssen.
    • Sie prüfen unter anderem Scanprozesse und erstellen Berichte zur Einhaltung der Technischen Richtlinie des BSI.
  • IS-Penetrationstesterin oder -tester
    • IS-Penetrationstests untersuchen Wege und Schnittstellen, über die Hacking-Angriffe in IT-Systeme erfolgen könnten.
    • Als Inhaberin oder Inhaber dieses Zertifikats identifizieren Sie Konfigurationsfehler sowie noch nicht behobene Schwachstellen.
  • IT-Grundschutzberaterin oder -berater
    • Sie beraten und begleiten Unternehmen oder Behörden bei der Absicherung von Informationen und dem Aufbau eines Managementsystems für Informationssicherheit (ISMS).
    • Aufgaben im Rahmen des IT-Grundschutz sind zum Beispiel Sicherheitskonzepte oder Einführung von Prozessen.

Ihren Antrag für die Zertifizierung müssen Sie online oder schriftlich beim BSI stellen.

Voraussetzungen

Anträge können stellen:

  • natürliche Personen

Weitere Voraussetzungen:

  • Auditteamleiterin oder -teamleiter:
    • Sie haben
      • eine einschlägige Berufsausbildung (zum Beispiel Studium im Bereich IT oder Informationssicherheit) und/oder vergleichbare berufsbegleitende Fortbildungen absolviert oder
      • mindestens 8 Jahre Berufserfahrung im Bereich IT, davon mindestens 5 Jahre im Bereich Informationssicherheit.
    • Sie arbeiten als Auditorin oder Auditor bei einer akkreditierten Zertifizierungsstelle im Bereich ISO 27001 und haben innerhalb der vergangenen 3 Jahre mindestens 1 ISO 27001-Zertifizierungsaudit geleitet.
    • Sie können folgende Praxiserfahrung nachweisen:
      • Variante 1: Sie haben in den vergangenen 3 Jahren
        • 4 Zertifizierungsaudits im Bereich Informationssicherheit mit mindestens je 3 Personentagen als Auditorin oder Auditor, Trainee oder technische Expertin oder Experte unter folgenden Voraussetzungen begleitet:
          • Mindestens 1 Audit wurde durchgängig nach BSI-Standard 200-2 "IT-Grundschutz-Vorgehensweise" durchgeführt.
          • Der Gesamtumfang Ihrer Praxis- beziehungsweise Auditerfahrung umfasst mindestens 20 Personentage.
          • Bei mindestens 3 der Audits waren Sie am gesamten Audit beteiligt.
      • Variante 2: Sie haben in den vergangenen 3 Jahren
        • mindestens 6 Erstparteien-Audits oder Zweitparteien-Audits im Bereich Informationssicherheit mit mindestens je 3 Personentagen unter folgenden Voraussetzungen durchgeführt:
          • Mindestens 1 Audit, für den Sie verantwortlich waren, wurde durchgängig nach BSI-Standard 200-2 "IT-Grundschutz-Vorgehensweise" durchgeführt.
          • Der Gesamtumfang Ihrer Praxis- beziehungsweise Auditerfahrung umfasst mindestens 20 Personentage.
          • Sie waren bei allen Audits am gesamten Audit beteiligt.
    • Sie haben innerhalb der vergangenen 3 Jahre erfolgreich an einer 3-tägigen Schulung IT-Grundschutz teilgenommen.
    • Sie haben eine mindestens 5-tägige Ausbildung zur Auditorin oder zum Auditor für ISO 27001 erfolgreich abgeschlossen.
    • Sie haben die schriftliche Prüfung für Auditteamleitung bestanden (90-minütiger Test).
  • Auditorin oder Auditor De-Mail:
    • Sie sind bereits als Auditteamleitung zertifiziert.
    • Sie haben in den vergangenen 3 Jahren mindestens 3 vollständige Zertifizierungsaudits im Bereich ISO 27001 auf der Basis von IT-Grundschutz durchgeführt.
  • IS-Revisorin oder IS-Revisor:
    • Sie sind bereits als Auditteamleitung zertifiziert.
    • Sie haben Ihre Fachkompetenz vertieft (eintägige Schulung des BSI) sowie eine schriftliche und mündliche Prüfung im Rahmen der Schulung bestanden.
  • Auditorin oder Auditor Secure CA Operation:
    • Voraussetzungen wie für die Zertifizierung als Auditteamleitung
    • zusätzlich: Sie haben einen schriftlichen Test des BSI bestanden.
  • Auditorin oder Auditor Smart Meter Gateway Administration
    • Voraussetzungen wie für die Zertifizierung als Auditteamleitung
    • zusätzlich: Sie haben eine schriftliche Prüfung des BSI bestanden (60-minütiger Test).
  • Auditorin oder Auditor Sicherer E-Mail-Transport:
    • Sie haben eine einschlägige Berufsausbildung (zum Beispiel Studium im Bereich IT oder Informationssicherheit) und/oder entsprechende berufsbegleitende Fortbildungen abgeschlossen.
    • Sie haben in den vergangenen 8 Jahren mindestens 4 Jahre Berufserfahrung im Bereich IT, davon mindestens 2 Jahre im Bereich Informationssicherheit.
    • Wenn Ausbildung oder Fortbildung nicht auf Sie zutreffen, können Sie auch Folgendes nachweisen:
      • Sie haben mindestens 6 Jahre Berufserfahrung im Bereich IT, davon mindestens 4 Jahre im Bereich Informationssicherheit.
    • Sie haben eine zweiteilige Prüfung des BSI bestanden (60-minütiger Multiple-Choice-Test, 120-minütiger praktischer Test anhand eines Testsystems).
  • Auditorin oder Auditor RESISCAN:
    • Sie haben eine einschlägige Berufsausbildung (zum Beispiel Studium im Bereich IT oder Informationssicherheit) und/oder entsprechende berufsbegleitende Fortbildungen abgeschlossen.
    • Sie haben in den vergangenen 5 Jahren mindestens 3 Jahre Berufserfahrung im Bereich IT, davon mindestens 2 Jahre im Bereich Informationssicherheit.
    • Wenn Ausbildung oder Fortbildung nicht auf Sie zutreffen, können Sie auch Folgendes nachweisen:
      • Sie haben mindestens 5 Jahre Berufserfahrung im Bereich IT, davon mindestens 3 Jahre im Bereich Informationssicherheit.
      • Sie haben eine Zulassung als Auditorin oder Auditor bei einer akkreditierten Zertifizierungsstelle im Bereich ISO 27001 oder
      • Sie sind bereits als Auditteamleitung zertifiziert.
    • Sie haben innerhalb der vergangenen 3 Jahre mindestens 1 ISO 27001-Zertifizierungsaudit oder 1 Zertifizierungsaudit im Bereich BSI TR03138 durchgeführt.
    • Sie haben eine schriftliche Prüfung des BSI bestanden (Multiple-Choice-Test). Wenn Sie bereits Zertifizierungsaudits im Bereich RESISCAN durchgeführt haben, kann das BSI auf den schriftlichen Test verzichten.
  • Penetrationstesterin oder Penetrationstester:
    • Sie haben fachspezifische, praktische Berufserfahrung im Bereich IT oder Informationssicherheit zu
      • Systemadministration,
      • Netzwerkprotokollen,
      • Programmiersprachen,
      • IT-Sicherheitsprodukten (zum Beispiel Firewalls, Intrusion-Detection-Systemen),
      • Anwendungssystemen.
    • Sie sind bei einem BSI-zertifizierten IT-Sicherheitsdienstleister im Geltungsbereich Penetrationstests angestellt.
    • Im Rahmen eines Projekttags im BSI wurden Ihre praktische Fachkompetenz und Ihre persönlichen Voraussetzungen geprüft. Zum Beispiel
      • Ihr Spezialwissen,
      • die Handhabung von Tools und Schwachstellen-Scannern sowie
      • die kreative Vorgehensweise bei der Durchführung von Penetrationstests.
  • IT-Grundschutzberaterin oder -berater
    • Sie haben sich bereits erfolgreich als IT-Grundschutzpraktikerin oder -praktiker qualifiziert (mindestens 3-tägige IT-Grundschutz-Basisschulung mit anschließender Prüfung bei einem Schulungsanbieter).
    • Sie haben innerhalb der vergangenen 8 Jahre mindestens 5 Jahre fachspezifische, praktische Berufserfahrung im Bereich IT, davon mindestens 2 Jahre im Bereich Informationssicherheit.
    • Sie haben mindestens 5 Jahre Erfahrung bei der Umsetzung von IT-Grundschutzanforderungen.
    • Sie haben in den vergangenen 3 Jahren in leitender Rolle an Beratungsprojekten gearbeitet. Dabei
      • war Umsetzung des IT-Grundschutzes wesentlicher Bestandteil und
      • der Gesamtumfang der Leistung des Antragstellers betrug mindestens 40 Personentage.
      • Ziele Ihrer Beratungsprojekte waren
        • die vollständige Einführung eines Managementsystems für Informationssicherheit (ISMS) gemäß BSI-Standard 200-2 oder
        • die Erstellung von IT-Sicherheitskonzepten, Notfallkonzepten oder
        • Risikodokumentation nach IT-Grundschutz.
    • Sie haben an einer Aufbauschulung zur IT-Grundschutzberaterin oder zum IT-Grundschutzberater bei einem Schulungsanbieter teilgenommen.
    • Sie haben die Prüfung zur IT-Grundschutzberaterin oder zum IT-Grundschutzberater beim BSI bestanden.

Welche Unterlagen werden benötigt?

Bei der Antragstellung müssen erreichen:

  • Auditteamleiterin oder -teamleiter:
    • Zeugnis Ihres Ausbildungsabschlusses aus dem Bereich IT oder Informationssicherheit oder
    • Zeugnis Ihres Ausbildungsabschlusses und Teilnahmebescheinigungen von Fortbildungen oder
    • Zeugnis oder Bestätigung eines Dritten (zum Beispiel Ihres Arbeitgebers) über Ihre Berufserfahrung
      • aus dem Zeugnis oder der Bestätigung muss Art und Umfang Ihrer durchgeführten Tätigkeiten hervorgehen (zum Beispiel durch eine kurze Tätigkeitsbeschreibung)
    • Erlangte Zertifikate aus Ihren Zertifizierungsaudits oder
    • vom Auftraggeber oder Arbeitgeber bestätigte Kurzberichte zu Ihrer Praxiserfahrung
      • Aus den Kurzberichten müssen hervorgehen:
        • die wesentlichen Ziele sowie der Gegenstand des Audits,
        • die Audit-Vorgehensweise (Dokumentenprüfung, Vor-Ort-Prüfung, Auditbericht),
        • die Rollenverteilung im Audit, insbesondere Ihre Position/Verantwortung,
        • der Zeitraum und Umfang (Personentage) des Audits.
    • Bestätigung Ihrer Beschäftigung als Auditorin oder Auditor
    • Nachweis über die DAkkS-Akkreditierung Ihres Arbeitgebers beziehungsweise der beauftragenden Zertifizierungsstelle (zum Beispiel Kopie der Akkreditierungsurkunde)
    • Teilnahmebescheinigungen, Prüfungszeugnisse oder erlangte Zertifikate IT-Grundschutzschulung und Auditor-Ausbildung für ISO 27001
  • Auditorin oder Auditor De-Mail:
    • Unterlagen wie für die Zertifizierung als Auditteamleitung
    • zusätzlich: gültiges Auditteamleitungs-Zertifikat
  • IS-Revisorin oder IS-Revisor:
    • Zeugnis Ihres Ausbildungsabschlusses und Teilnahmebescheinigungen von Fortbildungen oder
    • Zeugnis Ihres Ausbildungsabschlusses aus dem Bereich IT beziehungsweise Informationssicherheit oder
    • Zeugnis beziehungsweise unterschriebene Bestätigung eines Dritten (zum Beispiel Ihres Arbeitgebers) über Ihre Berufs- und Auditerfahrung
    • aus Ihren Zeugnissen oder Nachweisen muss Art und Umfang Ihrer durchgeführten Tätigkeiten hervorgehen (zum Beispiel durch eine kurze Tätigkeitsbeschreibung)
    • von Auftraggeberin oder Arbeitgeber bestätigte Kurzberichte zu Ihrer Auditerfahrung
      • aus den Kurzberichten muss hervorgehen:
        • die wesentlichen Ziele sowie der Gegenstand Ihrer Audits
        • die Audit-Vorgehensweise
        • die Rollenverteilung im Audit
        • Ihre Position/Verantwortung im Audit
        • der Zeitraum und Umfang (Personentage) des Audits
    • wenn vorhanden: gültiges Auditteamleitungs-Zertifikat
  • Auditorin oder Auditor Secure CA Operation:
    • Zeugnis Ihres Ausbildungsabschlusses aus dem Bereich IT beziehungsweise Informationssicherheit oder
    • Zeugnis Ihres Ausbildungsabschlusses und Teilnahmebescheinigungen von Fortbildungen oder
    • Zeugnis beziehungsweise unterschriebene Bestätigung eines Dritten (zum Beispiel Ihres Arbeitgebers) über Ihre Berufserfahrung im Bereich IT sowie im Bereich Informationssicherheit
      • aus dem Zeugnis oder der Bestätigung muss Art und Umfang Ihrer durchgeführten Tätigkeiten hervorgehen (zum Beispiel durch eine kurze Tätigkeitsbeschreibung)
    • Nachweis über die DAkkS-Akkreditierung Ihres Arbeitgebers oder Arbeitgeberin beziehungsweise der beauftragenden Zertifizierungsstelle (zum Beispiel Kopie der Akkreditierungsurkunde)
    • Nachweis Ihrer Zulassung als Auditorin oder Auditor oder
    • gültiges Auditteamleitungszertifikat
  • Auditorin oder Auditor Smart Meter Gateway Administration:
    • Zeugnis Ihres Ausbildungsabschlusses aus dem Bereich IT oder Informationssicherheit oder
    • Zeugnis Ihres Ausbildungsabschlusses und Teilnahmebescheinigungen von Fortbildungen oder
    • Zeugnis oder unterschriebene Bestätigung eines Dritten (zum Beispiel Ihres Arbeitgebers) über Ihre Berufserfahrung
      • aus dem Zeugnis oder der Bestätigung muss Art und Umfang Ihrer durchgeführten Tätigkeiten hervorgehen (zum Beispiel durch eine kurze Tätigkeitsbeschreibung)
    • Erlangte Zertifikate aus Ihren Zertifizierungsaudits oder
    • vom Auftraggeber oder Arbeitgeber bestätigte Kurzberichte zu Ihrer Praxiserfahrung
      • Aus den Kurzberichten müssen hervorgehen:
        • die wesentlichen Ziele sowie der Gegenstand des Audits,
        • die Audit-Vorgehensweise (Dokumentenprüfung, Vor-Ort-Prüfung, Auditbericht),
        • die Rollenverteilung im Audit, insbesondere Ihre Position/Verantwortung,
        • der Zeitraum und Umfang (Personentage) des Audits.
    • Bestätigung Ihrer Beschäftigung als Auditorin oder Auditor
    • Nachweis über die DAkkS-Akkreditierung Ihres Arbeitgebers beziehungsweise der beauftragenden Zertifizierungsstelle (zum Beispiel Kopie der Akkreditierungsurkunde)
    • Teilnahmebescheinigungen, Prüfungszeugnisse oder erlangte Zertifikate IT-Grundschutzschulung und Auditor-Ausbildung für ISO 27001
  • Auditorin oder Auditor Sicherer E-Mail-Transport:
    • Zeugnis Ihres Ausbildungsabschlusses aus dem Bereich IT oder Informationssicherheit oder
    • Zeugnis Ihres Ausbildungsabschlusses und Teilnahmebescheinigungen von Fortbildungen
    • Zeugnis oder Bestätigung eines Dritten (zum Beispiel Ihres Arbeitgebers) über Ihre Berufserfahrung mit Übersicht der durchgeführten Tätigkeiten
    • Nachweis Ihrer Zulassung als Auditorin oder Auditor
  • Auditorin oder Auditor RESISCAN:
    • Zeugnis Ihres Ausbildungsabschlusses aus dem Bereich IT oder Informationssicherheit oder
    • Zeugnis Ihres Ausbildungsabschlusses und Teilnahmebescheinigungen von Fortbildungen
    • Zeugnis oder Bestätigung eines Dritten (zum Beispiel Ihres Arbeitgebers) über Ihre Berufserfahrung
      • aus dem Zeugnis oder der Bestätigung muss Art und Umfang Ihrer durchgeführten Tätigkeiten hervorgehen (zum Beispiel durch eine kurze Tätigkeitsbeschreibung)
    • Erlangte Zertifikate und vom Auftraggeber oder Arbeitgeber bestätigte Kurzberichte
    • Nachweis über die DAkkS-Akkreditierung Ihres Arbeitgebers beziehungsweise der beauftragenden Zertifizierungsstelle (zum Beispiel Kopie der Akkreditierungsurkunde)
    • Nachweis Ihrer Zulassung als Auditorin oder Auditor oder
    • gültiges Auditteamleitungs-Zertifikat
  • Penetrationstesterin oder Penetrationstester:
    • Zeugnis oder Bestätigung eines Dritten (zum Beispiel Ihres Arbeitgebers) und/oder
    • weitere Nachweise über Ihre Berufs-, Praxis- und Projekterfahrung sowie Ihre Spezialkenntnisse im Bereich Penetrationstests (zum Beispiel Schulungsnachweise)
    • aus den Nachweisen muss hervorgehen:
      • Art und Umfang Ihrer konkreten Erfahrungen (zum Beispiel durch eine kurze Tätigkeitsbeschreibung)
    • Nachweise über Zertifizierung Ihres Arbeitgebers:
      • BSI-Zertifikat des IT-Sicherheitsdienstleisters (in Kopie) oder
      • Kopie des Antrags auf Zertifizierung als IT-Sicherheitsdienstleister
  • IT-Grundschutzberaterin oder IT-Grundschutzberater:
    • Lebenslauf (Ausbildungs-, Arbeits- und Projekthistorie)
    • Zeugnis des letzten Bildungsabschlusses
    • Zeugnis oder Bestätigung eines Dritten (zum Beispiel Ihres Arbeitgebers) über Ihre Berufserfahrung im Bereich IT, im Bereich Informationssicherheit und der Umsetzung von IT-Grundschutzanforderungen
    • vom Auftraggeber oder Arbeitgeberin bestätigte Kurzberichte zu Ihrer Praxiserfahrung
      • aus den Unterlagen muss hervorgehen:
        • die wesentlichen Ziele Ihrer Beratungstätigkeit
        • die Grundlagen der Beratungstätigkeit (zum Beispiel die jeweiligen BSI-Standards)
        • die Rollenverteilung im Projekt, insbesondere Ihre Position und Verantwortung
        • der Zeitraum und Umfang (Personentage) des Projektes
    • Nachweis Ihrer bestandenen Prüfung als IT-Grundschutzpraktikerin oder IT-Grundschutzpraktiker (zum Beispiel Abschlusstest)
    • Teilnahmebescheinigung an der Aufbauschulung zur IT-Grundschutzberaterin oder zum IT-Grundschutzberater

Hinweis:
Die aktuellen und rechtsverbindlichen Angaben zu den zu erbringenden Nachweisen entnehmen Sie bitte der Verfahrensbeschreibung und dem Programm auf der Website des BSI.

Rechtsgrundlage

  • § 9 Absatz 2 Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSI-Gesetz BSIG)
  • Besondere Gebührenverordnung des Bundesministeriums des Innern, für Bau und Heimat für individuell zurechenbare öffentliche Leistungen in dessen Zuständigkeitsbereich (BMIGebV)
  • Verordnung über das Verfahren der Erteilung von Sicherheitszertifikaten und Anerkennungen durch das Bundesamt für Sicherheit in der Informationstechnik (BSI-Zertifizierungs- und -Anerkennungsverordnung - BSIZertV)
  • Anlage 1 Teil A Abschnitt 1 Nummer 1 der Allgemeinen Gebührenverordnung (AGebV)

Links & Onlinedienste

Zum Antrag