BSI/200-3/Rückführung: Unterschied zwischen den Versionen

Aus Foxwiki
Keine Bearbeitungszusammenfassung
K Textersetzung - „BSI//“ durch „BSI/“
 
(46 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt)
Zeile 1: Zeile 1:
=== Beschreibung ===
; Nach der Konsolidierung des Sicherheitskonzepts
; Nächste Schritten
Zweiter Grundschutz-Check
Dies bedeutet insbesondere, dass in einem '''erneuten Grundschutz-Check'''
* Umsetzungsstatus der neu hinzugekommenen oder geänderten Maßnahmen
* prüfen und dokumentieren
*: https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/Grundschutz/Zertifizierte-Informationssicherheit/IT-Grundschutzschulung/Online-Kurs-Grundschutz/Lektion_6_IT-Grundschutz-Check/Lektion_6_node.html
; Zweiter Grundschutz-Check
Erforderlich!
* Da sich in der Regel durch die Risikoanalyse das Sicherheitskonzept geändert hat und der Umsetzungsstatus der neu hinzugekommenen oder geänderten Maßnahmen zu prüfen ist.
; Rückführung in den Sicherheitsprozess
; Rückführung in den Sicherheitsprozess
Nach der Konsolidierung des Sicherheitskonzepts kann der Sicherheitsprozess, wie er im BSI-Standard 200-2 IT-Grundschutz-Methodik (siehe [BSI2]) beschrieben ist, fortgesetzt werden. Das ergänzte Sicherheitskonzept dient somit als Basis für folgende Arbeitsschritte:
* Nach der Konsolidierung des Sicherheitskonzepts kann der Sicherheitsprozess, wie er im BSI-Standard 200-2 IT-Grundschutz-Methodik beschrieben ist, fortgesetzt werden.
* IT-Grundschutz-Check (siehe Kapitel 8.4 der IT-Grundschutz-Methodik)
 
: Im Rahmen der Vorar­beiten wurde bereits ein IT-Grundschutz-Check für die laut IT-Grundschutz-Modell zu erfüllenden Sicherheitsanforderungen durchgeführt. Da sich bei der Risikoanalyse in der Regel Änderungen am Sicherheitskonzept ergeben, ist anschließend noch der Umsetzungsstatus der neu hinzugekom­menen oder geänderten Anforderungen zu prüfen. Gegebenenfalls veraltete Ergebnisse sollten auf den neuesten Stand gebracht werden.
=== Arbeitsschritte ===
* Umsetzung der Sicherheitskonzeption (Kapitel 9 der IT-Grundschutz-Methodik)
; Ergänztes Sicherheitskonzept als Basis für folgende Arbeitsschritte
: Die im Sicher­heitskonzept für die einzelnen Zielobjekte vorgesehenen Sicherheitsanforderungen müssen erfüllt werden. Hierfür müssen die daraus abgeleiteten Sicherheitsmaßnahmen in die Praxis umgesetzt werden, damit sie wirksam werden können. Dies umfasst unter anderem eine Kosten- und Auf­wandsschätzung sowie die Festlegung der Umsetzungsreihenfolge.
; IT-Grundschutz-Check  
* Überprüfung des Informationssicherheitsprozesses in allen Ebenen
* siehe Kapitel 8.4 der IT-Grundschutz-Methodik
: (siehe Kapitel 10.1 der IT-Grundschutz-Methodik). Zur Aufrechterhaltung und kontinuierlichen Verbesserung der Infor­mationssicherheit müssen unter anderem regelmäßig die Erfüllung der Sicherheitsanforderungenund die Eignung der Sicherheitsstrategie überprüft werden. Die Ergebnisse der Überprüfungen fließen in die Fortschreibung des Sicherheitsprozesses ein.
* Im Rahmen der Vorar­beiten wurde bereits ein IT-Grundschutz-Check für die laut IT-Grundschutz-Modell zu erfüllenden Sicherheitsanforderungen durchgeführt.  
* Informationsfluss im Informationssicherheitsprozess (siehe Kapitel 5.2 der IT-Grund­schutz-Methodik)
* Da sich bei der Risikoanalyse in der Regel Änderungen am Sicherheitskonzept ergeben, ist anschließend noch der Umsetzungsstatus der neu hinzugekom­menen oder geänderten Anforderungen zu prüfen.  
: Um Nachvollziehbarkeit zu erreichen, muss der Sicherheitsprozess auf allen Ebenen dokumentiert sein. Dazu gehören insbesondere auch klare Regelungen für Meldewege und Informationsflüsse. Die Leitungsebene muss von der Sicherheitsorganisation regelmäßig und in angemessener Form über den Stand der Informationssicherheit informiert werden.
* Gegebenenfalls veraltete Ergebnisse sollten auf den neuesten Stand gebracht werden.
* ISO 27001-Zertifizierung auf der Basis von IT-Grundschutz
 
: (siehe Kapitel 11 der IT-Grund­schutz-Methodik). In vielen Fällen ist es wünschenswert, den Stellenwert der Informationssicher­heit und die erfolgreiche Umsetzung des IT-Grundschutzes in einer Behörde bzw. einem Unterneh­men transparent zu machen. Hierfür bietet sich eine ISO 27001-Zertifizierung auf der Basis von IT-Grundschutz an. Nach der Konsolidierung des Sicherheitskonzepts kann der Sicherheitsprozess, wie er im BSI-Standard 200-2 IT-Grundschutz-Methodik (siehe [BSI2]) beschrieben ist, fortgesetzt werden.
; Umsetzung der Sicherheitskonzeption
* Kapitel 9 der IT-Grundschutz-Methodik
* Die im Sicher­heitskonzept für die einzelnen Zielobjekte vorgesehenen Sicherheitsanforderungen müssen erfüllt werden.  
* Hierfür müssen die daraus abgeleiteten Sicherheitsmaßnahmen in die Praxis umgesetzt werden, damit sie wirksam werden können.  
* Dies umfasst unter anderem eine Kosten- und Auf­wandsschätzung sowie die Festlegung der Umsetzungsreihenfolge.
 
; Überprüfung des Informationssicherheitsprozesses in allen Ebenen
* siehe Kapitel 10.1 der IT-Grundschutz-Methodik
* Zur Aufrechterhaltung und kontinuierlichen Verbesserung der Infor­mationssicherheit müssen unter anderem regelmäßig die Erfüllung der Sicherheitsanforderungen und die Eignung der Sicherheitsstrategie überprüft werden.  
* Die Ergebnisse der Überprüfungen fließen in die Fortschreibung des Sicherheitsprozesses ein.
 
; Informationsfluss im Informationssicherheitsprozess
* siehe Kapitel 5.2 der IT-Grund­schutz-Methodik
* Um Nachvollziehbarkeit zu erreichen, muss der Sicherheitsprozess auf allen Ebenen dokumentiert sein.  
* Dazu gehören insbesondere auch klare Regelungen für Meldewege und Informationsflüsse.  
* Die Leitungsebene muss von der Sicherheitsorganisation regelmäßig und in angemessener Form über den Stand der Informationssicherheit informiert werden.


; Das ergänzte Si­cherheitskonzept dient somit als Basis für folgende Arbeitsschritte
; ISO 27001-Zertifizierung auf der Basis von IT-Grundschutz  
* IT-Grundschutz-Check (siehe Kapitel 8.4 der IT-Grundschutz-Methodik)
* siehe Kapitel 11 der IT-Grund­schutz-Methodik
: Im Rahmen der Vorar­beiten wurde bereits ein IT-Grundschutz-Check für die laut IT-Grundschutz-Modell zu erfüllenden Sicherheitsanforderungen durchgeführt. Da sich bei der Risikoanalyse in der Regel Änderungen am Sicherheitskonzept ergeben, ist anschließend noch der Umsetzungsstatus der neu hinzugekom­menen oder geänderten Anforderungen zu prüfen. Gegebenenfalls veraltete Ergebnisse sollten auf den neuesten Stand gebracht werden.
* In vielen Fällen ist es wünschenswert, den Stellenwert der Informationssicher­heit und die erfolgreiche Umsetzung des IT-Grundschutzes in einer Behörde bzw. einem Unterneh­men transparent zu machen.  
* Umsetzung der Sicherheitskonzeption (Kapitel 9 der IT-Grundschutz-Methodik)
* Hierfür bietet sich eine ISO 27001-Zertifizierung auf der Basis von IT-Grundschutz an.
: Die im Sicher­heitskonzept für die einzelnen Zielobjekte vorgesehenen Sicherheitsanforderungen müssen erfüllt werden. Hierfür müssen die daraus abgeleiteten Sicherheitsmaßnahmen in die Praxis umgesetzt werden, damit sie wirksam werden können. Dies umfasst unter anderem eine Kosten- und Auf­wandsschätzung sowie die Festlegung der Umsetzungsreihenfolge.
* Nach der Konsolidierung des Sicherheitskonzepts kann der Sicherheitsprozess, wie er im BSI-Standard 200-2 IT-Grundschutz-Methodik (siehe [BSI2]) beschrieben ist, fortgesetzt werden.
* Überprüfung des Informationssicherheitsprozesses in allen Ebenen (siehe Kapitel 10.1 der IT-Grundschutz-Methodik). Zur Aufrechterhaltung und kontinuierlichen Verbesserung der Infor­mationssicherheit müssen unter anderem regelmäßig die Erfüllung der Sicherheitsanforderungen und die Eignung der Sicherheitsstrategie überprüft werden. Die Ergebnisse der Überprüfungen fließen in die Fortschreibung des Sicherheitsprozesses ein.
* Informationsfluss im Informationssicherheitsprozess (siehe Kapitel 5.2 der IT-Grund­schutz-Methodik). Um Nachvollziehbarkeit zu erreichen, muss der Sicherheitsprozess auf allen Ebenen dokumentiert sein. Dazu gehören insbesondere auch klare Regelungen für Meldewege und Informationsflüsse. Die Leitungsebene muss von der Sicherheitsorganisation regelmäßig und in angemessener Form über den Stand der Informationssicherheit informiert werden.
* ISO 27001-Zertifizierung auf der Basis von IT-Grundschutz (siehe Kapitel 11 der IT-Grund­schutz-Methodik). In vielen Fällen ist es wünschenswert, den Stellenwert der Informationssicher­heit und die erfolgreiche Umsetzung des IT-Grundschutzes in einer Behörde bzw. einem Unterneh­men transparent zu machen. Hierfür bietet sich eine ISO 27001-Zertifizierung auf der Basis von IT-Grundschutz an.


[[Kategorie:BSI/Standard/200-3]]
<noinclude>
== Anhang ==
=== Siehe auch ===
{{Special:PrefixIndex/{{BASEPAGENAME}}}}
==== Links ====
===== Weblinks =====
[[Kategorie:BSI/200-3]]
</noinclude>

Aktuelle Version vom 3. Oktober 2024, 09:14 Uhr

Beschreibung

Nach der Konsolidierung des Sicherheitskonzepts
Nächste Schritten

Zweiter Grundschutz-Check

Dies bedeutet insbesondere, dass in einem erneuten Grundschutz-Check

Zweiter Grundschutz-Check

Erforderlich!

  • Da sich in der Regel durch die Risikoanalyse das Sicherheitskonzept geändert hat und der Umsetzungsstatus der neu hinzugekommenen oder geänderten Maßnahmen zu prüfen ist.
Rückführung in den Sicherheitsprozess
  • Nach der Konsolidierung des Sicherheitskonzepts kann der Sicherheitsprozess, wie er im BSI-Standard 200-2 IT-Grundschutz-Methodik beschrieben ist, fortgesetzt werden.

Arbeitsschritte

Ergänztes Sicherheitskonzept als Basis für folgende Arbeitsschritte
IT-Grundschutz-Check
  • siehe Kapitel 8.4 der IT-Grundschutz-Methodik
  • Im Rahmen der Vorar­beiten wurde bereits ein IT-Grundschutz-Check für die laut IT-Grundschutz-Modell zu erfüllenden Sicherheitsanforderungen durchgeführt.
  • Da sich bei der Risikoanalyse in der Regel Änderungen am Sicherheitskonzept ergeben, ist anschließend noch der Umsetzungsstatus der neu hinzugekom­menen oder geänderten Anforderungen zu prüfen.
  • Gegebenenfalls veraltete Ergebnisse sollten auf den neuesten Stand gebracht werden.
Umsetzung der Sicherheitskonzeption
  • Kapitel 9 der IT-Grundschutz-Methodik
  • Die im Sicher­heitskonzept für die einzelnen Zielobjekte vorgesehenen Sicherheitsanforderungen müssen erfüllt werden.
  • Hierfür müssen die daraus abgeleiteten Sicherheitsmaßnahmen in die Praxis umgesetzt werden, damit sie wirksam werden können.
  • Dies umfasst unter anderem eine Kosten- und Auf­wandsschätzung sowie die Festlegung der Umsetzungsreihenfolge.
Überprüfung des Informationssicherheitsprozesses in allen Ebenen
  • siehe Kapitel 10.1 der IT-Grundschutz-Methodik
  • Zur Aufrechterhaltung und kontinuierlichen Verbesserung der Infor­mationssicherheit müssen unter anderem regelmäßig die Erfüllung der Sicherheitsanforderungen und die Eignung der Sicherheitsstrategie überprüft werden.
  • Die Ergebnisse der Überprüfungen fließen in die Fortschreibung des Sicherheitsprozesses ein.
Informationsfluss im Informationssicherheitsprozess
  • siehe Kapitel 5.2 der IT-Grund­schutz-Methodik
  • Um Nachvollziehbarkeit zu erreichen, muss der Sicherheitsprozess auf allen Ebenen dokumentiert sein.
  • Dazu gehören insbesondere auch klare Regelungen für Meldewege und Informationsflüsse.
  • Die Leitungsebene muss von der Sicherheitsorganisation regelmäßig und in angemessener Form über den Stand der Informationssicherheit informiert werden.
ISO 27001-Zertifizierung auf der Basis von IT-Grundschutz
  • siehe Kapitel 11 der IT-Grund­schutz-Methodik
  • In vielen Fällen ist es wünschenswert, den Stellenwert der Informationssicher­heit und die erfolgreiche Umsetzung des IT-Grundschutzes in einer Behörde bzw. einem Unterneh­men transparent zu machen.
  • Hierfür bietet sich eine ISO 27001-Zertifizierung auf der Basis von IT-Grundschutz an.
  • Nach der Konsolidierung des Sicherheitskonzepts kann der Sicherheitsprozess, wie er im BSI-Standard 200-2 IT-Grundschutz-Methodik (siehe [BSI2]) beschrieben ist, fortgesetzt werden.


Anhang

Siehe auch

Links

Weblinks