BSI/200-3/Rückführung

Beschreibung

Nach der Konsolidierung des Sicherheitskonzepts

Nächste Schritten

Zweiter Grundschutz-Check

Dies bedeutet insbesondere, dass in einem erneuten Grundschutz-Check

• Umsetzungsstatus der neu hinzugekommenen oder geänderten Maßnahmen
• prüfen und dokumentieren

  https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/Grundschutz/Zertifizierte-Informationssicherheit/IT-Grundschutzschulung/Online-Kurs-Grundschutz/Lektion_6_IT-Grundschutz-Check/Lektion_6_node.html

Zweiter Grundschutz-Check

Erforderlich!

• Da sich in der Regel durch die Risikoanalyse das Sicherheitskonzept geändert hat und der Umsetzungsstatus der neu hinzugekommenen oder geänderten Maßnahmen zu prüfen ist.

Rückführung in den Sicherheitsprozess

• Nach der Konsolidierung des Sicherheitskonzepts kann der Sicherheitsprozess, wie er im BSI-Standard 200-2 IT-Grundschutz-Methodik beschrieben ist, fortgesetzt werden.

Arbeitsschritte

Ergänztes Sicherheitskonzept als Basis für folgende Arbeitsschritte

IT-Grundschutz-Check

• siehe Kapitel 8.4 der IT-Grundschutz-Methodik
• Im Rahmen der Vorar­beiten wurde bereits ein IT-Grundschutz-Check für die laut IT-Grundschutz-Modell zu erfüllenden Sicherheitsanforderungen durchgeführt.
• Da sich bei der Risikoanalyse in der Regel Änderungen am Sicherheitskonzept ergeben, ist anschließend noch der Umsetzungsstatus der neu hinzugekom­menen oder geänderten Anforderungen zu prüfen.
• Gegebenenfalls veraltete Ergebnisse sollten auf den neuesten Stand gebracht werden.

Umsetzung der Sicherheitskonzeption

• Kapitel 9 der IT-Grundschutz-Methodik
• Die im Sicher­heitskonzept für die einzelnen Zielobjekte vorgesehenen Sicherheitsanforderungen müssen erfüllt werden.
• Hierfür müssen die daraus abgeleiteten Sicherheitsmaßnahmen in die Praxis umgesetzt werden, damit sie wirksam werden können.
• Dies umfasst unter anderem eine Kosten- und Auf­wandsschätzung sowie die Festlegung der Umsetzungsreihenfolge.

Überprüfung des Informationssicherheitsprozesses in allen Ebenen

• siehe Kapitel 10.1 der IT-Grundschutz-Methodik
• Zur Aufrechterhaltung und kontinuierlichen Verbesserung der Infor­mationssicherheit müssen unter anderem regelmäßig die Erfüllung der Sicherheitsanforderungen und die Eignung der Sicherheitsstrategie überprüft werden.
• Die Ergebnisse der Überprüfungen fließen in die Fortschreibung des Sicherheitsprozesses ein.

Informationsfluss im Informationssicherheitsprozess

• siehe Kapitel 5.2 der IT-Grund­schutz-Methodik
• Um Nachvollziehbarkeit zu erreichen, muss der Sicherheitsprozess auf allen Ebenen dokumentiert sein.
• Dazu gehören insbesondere auch klare Regelungen für Meldewege und Informationsflüsse.
• Die Leitungsebene muss von der Sicherheitsorganisation regelmäßig und in angemessener Form über den Stand der Informationssicherheit informiert werden.

ISO 27001-Zertifizierung auf der Basis von IT-Grundschutz

• siehe Kapitel 11 der IT-Grund­schutz-Methodik
• In vielen Fällen ist es wünschenswert, den Stellenwert der Informationssicher­heit und die erfolgreiche Umsetzung des IT-Grundschutzes in einer Behörde bzw. einem Unterneh­men transparent zu machen.
• Hierfür bietet sich eine ISO 27001-Zertifizierung auf der Basis von IT-Grundschutz an.
• Nach der Konsolidierung des Sicherheitskonzepts kann der Sicherheitsprozess, wie er im BSI-Standard 200-2 IT-Grundschutz-Methodik (siehe [BSI2]) beschrieben ist, fortgesetzt werden.

Anhang

Siehe auch

• BSI/200-3/Rückführung

Links

Weblinks