Das BSI hat dazu zusammen mit interessierten Kreisen aus der Wirtschaft ein Zertifizierungssystem für den IT-Grundschutz entwickelt und an den internationalen Zertifizierungsstandard für Informationssicherheits-Managementsysteme (DIN ISO/IEC 27001) angepaßt. Im BSI werden seit Beginn des Geschäftsjahres 2006 Zertifizierungen nach ISO 27001 auf der Grundlage von IT-Grundschutz durchführt. Durch die Einbindung der aus der Norm ISO/IEC 27001 hervorgegangenen Norm ISO/IEC 7799-2 ist diese Zertifizierungen auf der Grundlage von IT-Grundschutz für weltweit agierende Einrichtungen besonders attraktiv.
Das BSI legt zwei Stufen des aktuellen Zertifikats fest: das Auditorenzertifikat "IT-Grundschutz Aufbaustufe", um für die Behörde und für Firmen einen Migrationsweg anzubieten und wesentliche Etappen bei der stufenweisen Implementierung von Standardsicherheitsmaßnahmen zu durchschauen.
Zur Erteilung eines ISO 27001-Zertifikats muss dieser Auditbericht dem BSI zur Prüfung vorlegt werden. Anhand des Auditberichts und der ISO 27001-Zertifizierung auf Grund des IT-Grundschutz-Zertifizierungsschemas; Fassung 1. 2 (PDF, 562KB, Datei ist barrierefrei?barrierearm) wird eine Entscheidung über die Zulassung durch das BSI getroffen. Vorzüge und Bedeutung: Weitere Hinweise zum Ablauf der ISO 27001 Zertifikation auf Grund von IT-Grundschutz entnehmen Sie bitte dem Merkblatt "Zertifizierte IT-Sicherheit (PDF, 1MB, Datei ist barrierefrei?barrierearm)" sowie einer Liste weiterer Zertifikate.
Kooperationspartner wollen wissen, welches Maß an IT-Sicherheit ihre Partner garantieren können. Einrichtungen, die an ein Netzwerk angebunden sind, müssen nachweisen, dass sie über genügend IT-Sicherheit verfügen, um unannehmbare Gefahren bei der Anbindung an das Netzwerk zu vermeiden. Firmen und öffentliche Stellen wollen gegenüber Verbrauchern und Bürgerinnen und Bürgern ihre Anstrengungen für eine angemessene IT-Sicherheit aufzeigen.
Nachdem die IT-Grundschutzsicherheit mit ihren Vorschlägen für Standardsicherheitsmaßnahmen zu einem Quasi-Standard für die IT-Sicherheit geworden ist, ist es sinnvoll, diese als allgemeines Kriterium für die IT-Sicherheit zu nutzen.