VdS 10000 ist der praxisnahe Informationssicherheitsstandard speziell für kleine und mittlere Unternehmen. Er bietet einen schlanken Einstieg in strukturierte Informationssicherheit ohne den Aufwand einer ISO-27001-Zertifizierung.
VdS 10000 ist ein Informationssicherheitsstandard, der vom VdS Schadenverhütung (einer der führenden Expertinstitutionen für Sicherheitsfragen in Deutschland, ursprünglich aus dem Versicherungsumfeld) speziell für kleine und mittlere Unternehmen entwickelt wurde. Er basiert inhaltlich auf ISO 27001, reduziert den Aufwand aber erheblich und passt die Anforderungen an die typischen Ressourcen und Strukturen von KMU an.
Das Ziel: Ein KMU soll mit überschaubarem Aufwand ein funktionierendes ISMS (Informationssicherheits-Managementsystem – ein strukturiertes System zur Planung, Umsetzung und Kontrolle von Informationssicherheitsmaßnahmen) aufbauen können, das echten Schutz bietet und zugleich als Nachweis gegenüber Kunden und Partnern dient.
VdS 10000 ist kein Zertifikat im ISO-Sinne, aber es gibt ein offizielles VdS-Anerkennungsverfahren. Unternehmen können ihr ISMS durch VdS prüfen und die Konformität bestätigen lassen.
VdS 10000 ist die richtige Wahl für KMU, die strukturierte Informationssicherheit einführen wollen, aber noch nicht den vollen Aufwand einer ISO-27001-Zertifizierung stemmen können oder wollen. Typische Szenarien:
Kunden oder Auftraggeber fordern einen Nachweis über grundlegende Informationssicherheit, aber keine vollwertige ISO-27001-Zertifizierung. Das Unternehmen möchte Informationssicherheit systematisch aufbauen und hat ISO 27001 als langfristiges Ziel. Versicherungsunternehmen setzen zunehmend voraus, dass KMU ein dokumentiertes Mindestniveau an Cybersicherheit nachweisen können.
VdS 10000 eignet sich auch als Einstieg und Vorbereitung auf ISO 27001: Wer VdS 10000 implementiert hat, hat den größten Teil der Grundlagenarbeit für ISO 27001 bereits erledigt.
VdS 10000 orientiert sich an der Struktur von ISO 27001, ist aber deutlich kompakter. Die Anforderungen decken folgende Bereiche ab:
Das Unternehmen definiert seine Sicherheitsziele und bekennt sich schriftlich zur Informationssicherheit. Die Leitlinie (ein kurzes Grundsatzdokument zur Informationssicherheit im Unternehmen) ist Ausgangspunkt aller weiteren Maßnahmen.
Kritische Informationen und Systeme werden identifiziert und bewertet. VdS 10000 vereinfacht die Risikoanalyse gegenüber ISO 27001 deutlich, ohne den risikobasierten Grundansatz aufzugeben.
VdS 10000 definiert einen konkreten Maßnahmenkatalog: Zugriffsschutz, Datensicherung, Schutz vor Schadsoftware, sichere Konfiguration von Systemen, Schulung der Mitarbeiter und Regelungen für mobile Geräte und Homeoffice.
Unternehmen müssen grundlegende Notfallpläne (Maßnahmen zur Aufrechterhaltung des Betriebs bei IT-Ausfällen oder Sicherheitsvorfällen) entwickeln und regelmäßig testen.
Maßnahmen müssen dokumentiert und regelmäßig überprüft werden. VdS 10000 setzt hier auf Pragmatismus: Der Dokumentationsaufwand ist bewusst geringgehalten, damit er auch in kleineren Teams handhabbar bleibt.
{{isms-check-allgemein="/system/components"}}
VdS 10000 ist freiwillig. Der Druck kommt, ähnlich wie bei ISO 27001, zunehmend vom Markt: Auftraggeber, Versicherungen und Geschäftspartner fragen aktiv nach Nachweisen zur Informationssicherheit. Wer nichts vorweisen kann, verliert Vertrauen und im schlimmsten Fall Aufträge.
Darüber hinaus schützt ein funktionierendes ISMS das Unternehmen selbst: Cyberangriffe auf KMU sind keine Seltenheit, und ohne grundlegende Schutzmaßnahmen sind die Folgen oft existenzbedrohend.
Digimojo begleitet dich beim Aufbau eines ISMS nach VdS 10000: von der ersten Bestandsaufnahme über die Risikoanalyse und Maßnahmenumsetzung bis zur Vorbereitung auf das VdS-Anerkennungsverfahren.
Wer VdS 10000 als Einstieg nutzt und langfristig ISO 27001 anstrebt, profitiert von einem durchgehenden Begleitprozess. DigimojoCOMPLY strukturiert die gesamte Dokumentation, Risikoverfolgung und Maßnahmenumsetzung, die beide Standards fordern.
Schreib uns kurz, worum es geht. Wir melden uns innerhalb von 24 Stunden mit konkreten nächsten Schritten.
