Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat nach dem BSI-Gesetz [BSIG] die Aufgabe, Zertifizierungen von informationstechnischen Systemen durchzuführen.

Um diese Aufgaben zu erfüllen, betreibt das BSI Zertifizierungsprogramme, in denen jeweils die Regeln (Geltungsbereiche, bedarfsgerechte Prüfkriterien, Anforderungen und Nachweise), das Verfahren sowie das Management zur Durchführung der Zertifizierung festgelegt und beschrieben sind.

Die Zertifizierung eines Managementsystems wird auf Antrag durchgeführt. Voraussetzung für eine Zertifizierung ist eine Prüfung gemäß den im Zertifizierungsprogramm veröffentlichten Kriterien bzw. Technischen Richtlinien.

Das Verfahren zur Durchführung von Zertifizierungen nach ISO 27001 auf der Basis von IT-Grundschutz ist in der Verfahrensbeschreibung Zertifizierung nach ISO 27001 auf der Basis von IT-Grundschutz – Zertifizierungsschema beschrieben.

Das Verfahren im Bereich TR ist im Dokument Verfahrensbeschreibung zur Zertifizierung von Produkten [VB-Produkte] beschrieben und wird durch das Anforderungsdokument Anforderungen für Antragsteller zur Zertifizierung von Produkten nach Technischen Richtlinien [TR-Produkte] ergänzt.

Einige TR setzen als Grundlage die ISO/IEC 27001 voraus. Zertifizierungen für diese TR erfolgen normalerweise nicht durch das BSI sondern bei akkreditierten Zertifizierungsstellen für die Zertifizierung von Managementsystemen gemäß ISO/IEC 27001. Das grundsätzliche System hierzu ist im " Hinweis für Zertifizierungsstellen von sektorspezifischen Managementsystemen basierend auf ISO/IEC 27001" beschrieben.

Im Dokument "Verzeichnisse" befindet sich die zentrale Aufschlüsselung aller Referenzen (Stammliste der aktuellen Dokumente) und ein Glossar.