IT-Grundschutz/Dokumentation: Unterschied zwischen den Versionen
Keine Bearbeitungszusammenfassung |
Keine Bearbeitungszusammenfassung |
||
| Zeile 1: | Zeile 1: | ||
'''IT-Grundschutz/Dokumentation''' im Informationssicherheitsprozess | '''IT-Grundschutz/Dokumentation''' Dokumentation im Informationssicherheitsprozess | ||
==== Dokumentation im Informationssicherheitsprozess | == Beschreibung == | ||
; Dokumentation im Informationssicherheitsprozess | |||
Dokumentation des IS-Prozesses auf allen Ebenen | * Entscheidend für Erfolg | ||
* Dokumentation des IS-Prozesses auf allen Ebenen | |||
; Nur durch ausreichende Dokumentation | ; Nur durch ausreichende Dokumentation | ||
| Zeile 10: | Zeile 11: | ||
* können Schwächen und Fehler erkannt und zukünftig vermieden werden | * können Schwächen und Fehler erkannt und zukünftig vermieden werden | ||
; Abhängig vom Gegenstand und vom Verwendungszweck der Dokumentation | ; Umfang | ||
Abhängig vom Gegenstand und vom Verwendungszweck der Dokumentation | |||
* Technische Dokumentation und Dokumentation von Arbeitsabläufen | * Technische Dokumentation und Dokumentation von Arbeitsabläufen | ||
* Anleitungen für Mitarbeiter | * Anleitungen für Mitarbeiter | ||
| Zeile 17: | Zeile 19: | ||
; Technische Dokumentation Arbeitsabläufen | ; Technische Dokumentation Arbeitsabläufen | ||
* Zielgruppe: Experten | |||
; Aktuellen Stand beschreiben | ; Aktuellen Stand beschreiben | ||
| Zeile 38: | Zeile 40: | ||
; Anleitungen für Mitarbeiter | ; Anleitungen für Mitarbeiter | ||
Zielgruppe: Mitarbeiter | * Zielgruppe: Mitarbeiter | ||
; Sicherheitsmaßnahmen in Form von Richtlinien dokumentieren | ; Sicherheitsmaßnahmen in Form von Richtlinien dokumentieren | ||
* für die Mitarbeiter verständlich | * für die Mitarbeiter verständlich | ||
Mitarbeiter müssen informiert und geschult sein | |||
; Mitarbeiter müssen informiert und geschult sein | |||
* Existenz und Bedeutung dieser Richtlinien | * Existenz und Bedeutung dieser Richtlinien | ||
| Zeile 49: | Zeile 52: | ||
* Richtlinien zur Nutzung des Internets | * Richtlinien zur Nutzung des Internets | ||
* Verhalten bei Sicherheitsvorfällen | * Verhalten bei Sicherheitsvorfällen | ||
* ... | |||
; Entscheidungen aufzeichnen | ; Entscheidungen aufzeichnen | ||
| Zeile 58: | Zeile 62: | ||
; Gesetze und Regelungen | ; Gesetze und Regelungen | ||
Zielgruppe: Leitungsebene | * Zielgruppe: Leitungsebene | ||
Für Informationsverarbeitung sind viele unterschiedliche relevant | |||
* Gesetze | * Gesetze | ||
* Regelungen | * Regelungen | ||
Aktuelle Version vom 25. November 2024, 22:22 Uhr
IT-Grundschutz/Dokumentation Dokumentation im Informationssicherheitsprozess
Beschreibung
- Dokumentation im Informationssicherheitsprozess
- Entscheidend für Erfolg
- Dokumentation des IS-Prozesses auf allen Ebenen
- Nur durch ausreichende Dokumentation
- werden getroffene Entscheidungen nachvollziehbar
- sind Prozesse wiederholbar und standardisierbar
- können Schwächen und Fehler erkannt und zukünftig vermieden werden
- Umfang
Abhängig vom Gegenstand und vom Verwendungszweck der Dokumentation
- Technische Dokumentation und Dokumentation von Arbeitsabläufen
- Anleitungen für Mitarbeiter
- Aufzeichnung von Management-Entscheidungen
- Gesetze und Regelungen
- Technische Dokumentation Arbeitsabläufen
- Zielgruppe: Experten
- Aktuellen Stand beschreiben
- Geschäftsprozessen
- damit verbundener IT-Systeme und Anwendungen
- Detaillierungsgrad technischer Dokumentationen
- andere Personen mit vergleichbarer Expertise sollen die Dokumentation nachvollziehen können
- Ein Administrator soll zwar auf sein Wissen, aber nicht auf sein Gedächtnis angewiesen sein, um die Systeme und Anwendungen wiederherzustellen
- Dazu gehörten
- Installations- und Konfigurationsanleitungen
- Anleitungen für den Wiederanlauf nach einem Sicherheitsvorfall
- Dokumentation von Test- und Freigabeverfahren
- Anweisungen für das Verhalten bei Störungen und Sicherheitsvorfällen
- Bei Sicherheitsübungen und bei Behandlung von Sicherheitsvorfällen
- Qualität der vorhandenen Dokumentationen bewerten
- gewonnene Erkenntnisse zur Verbesserung nutzen
- Anleitungen für Mitarbeiter
- Zielgruppe: Mitarbeiter
- Sicherheitsmaßnahmen in Form von Richtlinien dokumentieren
- für die Mitarbeiter verständlich
- Mitarbeiter müssen informiert und geschult sein
- Existenz und Bedeutung dieser Richtlinien
- Dazu gehört
- Arbeitsabläufe und organisatorische Vorgaben
- Richtlinien zur Nutzung des Internets
- Verhalten bei Sicherheitsvorfällen
- ...
- Entscheidungen aufzeichnen
- Informationssicherheitsprozess
- Sicherheitsstrategie
- jederzeit verfügbar
- nachvollziehbar
- wiederholbar
- Gesetze und Regelungen
- Zielgruppe: Leitungsebene
Für Informationsverarbeitung sind viele unterschiedliche relevant
- Gesetze
- Regelungen
- Anweisungen
- Verträge
- Besondere Anforderungen sollten dokumentiert werden
- welche konkreten Konsequenzen ergeben sich daraus
- Geschäftsprozesse
- IT-Betrieb
- Informationssicherheit
- Aktuellen Stand der Dokumentationen sicherstellen
- Dafür muss die Dokumentation in den Änderungsprozess einbezogen werden
- Informationsfluss und Meldewege
Richtlinie zum Informationsfluss und Meldewegen
- dokumentiert grundsätzliche Festlegungen
- zwischen Hol- und Bringschuld unterscheiden
- Kommunikationsplan erstellen
- Wer? Wem? Was? Wann? Bis wann? Form? Feedback bis?
- von der Leitungsebene verabschieden lassen
- Aktualisierung der Meldewege
- Festlegungen für den Informationsfluss
- zeitnahe Aktualisierung von elementarer Bedeutung für die Aufrechterhaltung des Informationssicherheitsprozesses Verbesserung des Informationsflusses
- Ergebnisse aus Übungen, Tests und Audits sind nützliche Grundlage für die Verbesserung des Informationsflusses
- Synergieeffekten für den Informationsfluss
- Oft sind bereits Prozesse für den IT-Support definiert Synergieeffekte nutzen
- Meldewege für IT-Sicherheitsvorfälle können in den IT-Support integriert werden
- die Kapazitätsplanung um Aspekte der Notfallvorsorge erweitert werden.
- Viele Informationen, die aus Sicherheitsgründen erhoben werden, können auch zu anderen Zwecken genutzt werden Sicherheitsmaßnahmen haben positive Nebeneffekte
- besonders Optimierung von Prozessen ist für viele Bereiche relevant
- Bestimmung von Informationseigentümern
- Einstufung von Informationen nach einheitlichen Bewertungskriterien Überblick über die Abhängigkeit
- der Geschäftsprozesse von IT-Systemen und Anwendungen
- ist nicht nur für das Sicherheitsmanagement sinnvoll
- exakte Zuordnung von IT-Kosten, auf einzelne Geschäftsprozesse
- Aktionspunkte Informationsfluss
- Festlegungen zum Informationsfluss und zu den Meldewegen in einer Richtlinie dokumentieren und der Leitungsebene zur Verabschiedung vorlegen
- Leitungsebene über die Ergebnisse von Überprüfungen und den Status des Informationssicherheitsprozesses informieren
- Entscheidungen über erforderliche Korrekturmaßnahmen einholen
- Alle Teilaspekte des gesamten Informationssicherheitsprozesses nachvollziehbar dokumentieren und die Dokumentation auf dem aktuellen Stand halten
- Die Qualität der Dokumentation bewerten und nachbessern oder aktualisieren
- Meldewege auf dem aktuellen Stand halten
- Synergien zwischen dem Informationssicherheitsprozess und anderen Managementprozessen ausfindig machen