ISMS.1 Sicherheitsmanagement: Unterschied zwischen den Versionen

Aus Foxwiki
K Textersetzung - „Kategorie:IT-Grundschutz“ durch „Kategorie:Grundschutz“
K Textersetzung - „Kategorie:Grundschutz“ durch „Kategorie:IT-Grundschutz“
 
(45 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt)
Zeile 1: Zeile 1:
'''topic''' - Kurzbeschreibung
'''ISMS.1 Sicherheitsmanagement''' - Baustein des [[:Kategorie:IT-Grundschutz/Kompendium|IT-Grundschutz/Kompendiums]]
 
== Beschreibung ==
== Beschreibung ==
Mit (Informations-)Sicherheitsmanagement wird die Planungs-, Lenkungs- und Kontrollaufgabe bezeichnet, die erforderlich ist, um einen durchdachten und wirksamen Prozess zur Herstellung von Informationssicherheit aufzubauen und kontinuierlich umzusetzen.
; Informationssicherheitsmanagement
* Ein funktionierendes Sicherheitsmanagement muss in die existierenden Managementstrukturen jeder Institution eingebettet werden.
* Herstellung von Informationssicherheit
* aufbauen und kontinuierlich umsetzen
 
; Durchdachter und wirksamen Prozess
* Planung
* Lenkung
* Kontrolle
 
; Ein funktionierendes Sicherheitsmanagement muss in die existierenden Managementstrukturen jeder Institution eingebettet werden.
* Daher ist es praktisch nicht möglich, eine für jede Institution unmittelbar anwendbare Organisationsstruktur für das Sicherheitsmanagement anzugeben.
* Daher ist es praktisch nicht möglich, eine für jede Institution unmittelbar anwendbare Organisationsstruktur für das Sicherheitsmanagement anzugeben.
* Vielmehr werden häufig Anpassungen an spezifische Gegebenheiten erforderlich sein.
* Vielmehr werden häufig Anpassungen an spezifische Gegebenheiten erforderlich sein.


=== Zielsetzung ===
; Zielsetzung
Ziel dieses Bausteins ist es aufzuzeigen, wie ein funktionierendes Managementsystem für Informationssicherheit (ISMS) eingerichtet und im laufenden Betrieb weiterentwickelt werden kann.
Aufzeigen, wie ein funktionierendes Managementsystem für Informationssicherheit (ISMS)
* Der Baustein beschreibt dazu Schritte eines systematischen Sicherheitsprozesses und gibt Anleitungen zur Erstellung eines Sicherheitskonzeptes.
* eingerichtet und  
* im laufenden Betrieb weiterentwickelt werden kann.
 
Der Baustein beschreibt dazu Schritte eines systematischen Sicherheitsprozesses und gibt Anleitungen zur Erstellung eines Sicherheitskonzeptes.


== Abgrenzung und Modellierung ==
=== Abgrenzung und Modellierung ===
Der Baustein ISMS.1 Sicherheitsmanagement ist auf den Informationsverbund einmal anzuwenden.
; Der Baustein ISMS.1 Sicherheitsmanagement ist auf den Informationsverbund einmal anzuwenden.


Der Baustein baut auf den BSI-Standards 200-1 „Managementsysteme für Informationssicherheit“ und 200-2 „IT-Grundschutz-Methodik“ auf.
Der Baustein baut auf den BSI-Standards 200-1 „Managementsysteme für Informationssicherheit“ und 200-2 „IT-Grundschutz-Methodik“ auf.
* Er fasst daraus die wichtigsten Aspekte zum Sicherheitsmanagement zusammen.
* Er fasst daraus die wichtigsten Aspekte zum Sicherheitsmanagement zusammen.


In der Institution sollten regelmäßig Sicherheitsrevisionen durchgeführt werden.
; In der Institution sollten regelmäßig Sicherheitsrevisionen durchgeführt werden.
* Ausführliche Anforderungen dazu sind nicht in diesem Baustein, sondern im Baustein DER 3.1 Audits und Revisionen zu finden.
* Ausführliche Anforderungen dazu sind nicht in diesem Baustein, sondern im Baustein DER 3.1 Audits und Revisionen zu finden.
* Außerdem sollten alle Mitarbeitenden der Institution sowie alle relevanten Externen systematisch und zielgruppengerecht zu Sicherheitsrisiken sensibilisiert und zu Fragen der Informationssicherheit geschult werden.
* Außerdem sollten alle Mitarbeitenden der Institution sowie alle relevanten Externen systematisch und zielgruppengerecht zu Sicherheitsrisiken sensibilisiert und zu Fragen der Informationssicherheit geschult werden.
* Ausführliche Anforderungen dazu sind im Baustein ORP.3 Sensibilisierung und Schulung zur Informationssicherheit zu finden.
* Ausführliche Anforderungen dazu sind im Baustein ORP.3 Sensibilisierung und Schulung zur Informationssicherheit zu finden.


Dieser Baustein behandelt ebenso keine spezifischen Aspekte zu Personal oder zum Bereich Organisation.
; Dieser Baustein behandelt ebenso keine spezifischen Aspekte zu Personal oder zum Bereich Organisation.
* Diese Anforderungen werden in den Bausteinen ORP.2 Personal bzw.
* Diese Anforderungen werden in den Bausteinen ORP.2 Personal bzw.  ORP.1 Organisation behandelt.
* ORP.1 Organisation behandelt.
 
== Gefährdungslage ==
Da IT-Grundschutz-Bausteine nicht auf individuelle Informationsverbünde eingehen können, werden zur Darstellung der Gefährdungslage typische Szenarien zugrunde gelegt.
* Die folgenden spezifischen Bedrohungen und Schwachstellen sind für den Baustein ISMS.1 Sicherheitsmanagement von besonderer Bedeutung.
 


=== Gefährdungslage ===
; Typische Szenarien
{| class="wikitable sortable options"
{| class="wikitable sortable options"
|-
|-
! Schwachstelle !! Beschreibung
! Gefährdung !! Beschreibung
|-
|-
| [[#Performance|Performance]] || Unzureichend dimensionierte Kommunikationsverbindungen
| [[#Fehlende persönliche Verantwortung|Fehlende persönliche Verantwortung]] || Rollen und Zuständigkeiten nicht eindeutig festgelegt
|-
|-
| [[#Netzzugänge|Netzzugänge]] || Ist das interne Netz mit dem Internet verbunden und der Übergang nicht ausreichend geschützt
| [[#Mangelnde Unterstützung durch die Institutionsleitung|Mangelnde Unterstützung durch die Institutionsleitung]] || Sicherheitsprozess nicht vollständig durchführbar
|-
|-
| [[#Aufbau|Aufbau]] || Wird ein Netz unsachgemäß aufgebaut oder fehlerhaft erweitert, können unsichere Netztopologien entstehen oder Netze unsicher konfiguriert werden.
| [[#Unzureichende strategische und konzeptionelle Vorgaben|Unzureichende strategische und konzeptionelle Vorgaben]] || Ohne strategische Vorgaben wird häufig unstrukturiert vorgegangen.
|}
|}


=== Fehlende persönliche Verantwortung im Sicherheitsprozess ===
==== Fehlende persönliche Verantwortung ====
; Fehlende persönliche Verantwortung im Sicherheitsprozess
Sind in einer Institution die Rollen und Zuständigkeiten im Sicherheitsprozess nicht eindeutig festgelegt, dann ist es wahrscheinlich, dass viele Mitarbeitende ihre Verantwortung für die Informationssicherheit mit dem Verweis auf übergeordnete Hierarchie-Ebenen ablehnen oder vergessen.
Sind in einer Institution die Rollen und Zuständigkeiten im Sicherheitsprozess nicht eindeutig festgelegt, dann ist es wahrscheinlich, dass viele Mitarbeitende ihre Verantwortung für die Informationssicherheit mit dem Verweis auf übergeordnete Hierarchie-Ebenen ablehnen oder vergessen.
* Als Folge werden Sicherheitsmaßnahmen nicht umgesetzt, da diese zunächst fast immer einen Mehraufwand im gewohnten Arbeitsablauf darstellen.
* Als Folge werden Sicherheitsmaßnahmen nicht umgesetzt, da diese zunächst fast immer einen Mehraufwand im gewohnten Arbeitsablauf darstellen.


=== Mangelnde Unterstützung durch die Institutionsleitung ===
==== Mangelnde Unterstützung durch die Institutionsleitung ====
Werden die Sicherheitsverantwortlichen nicht uneingeschränkt durch die Institutionsleitung unterstützt, kann es schwierig werden, die notwendigen Maßnahmen einzufordern.
Werden die Sicherheitsverantwortlichen nicht uneingeschränkt durch die Institutionsleitung unterstützt, kann es schwierig werden, die notwendigen Maßnahmen einzufordern.
* Dies gilt insbesondere für Personen, die in der Linienstruktur über den Sicherheitsverantwortlichen stehen.
* Dies gilt insbesondere für Personen, die in der Linienstruktur über den Sicherheitsverantwortlichen stehen.
* In diesem Fall ist der Sicherheitsprozess nicht vollständig durchführbar.
* In diesem Fall ist der Sicherheitsprozess nicht vollständig durchführbar.


=== Unzureichende strategische und konzeptionelle Vorgaben ===
==== Unzureichende strategische und konzeptionelle Vorgaben ====
In vielen Institutionen wird zwar ein Sicherheitskonzept erstellt, dessen Inhalt ist dann aber häufig nur wenigen Personen in der Institution bekannt.
In vielen Institutionen wird zwar ein Sicherheitskonzept erstellt, dessen Inhalt ist dann aber häufig nur wenigen Personen in der Institution bekannt.
* Dies führt dazu, dass Vorgaben an Stellen, an denen organisatorischer Aufwand zu betreiben wäre, bewusst oder unbewusst nicht eingehalten werden.
* Dies führt dazu, dass Vorgaben an Stellen, an denen organisatorischer Aufwand zu betreiben wäre, bewusst oder unbewusst nicht eingehalten werden.
Zeile 61: Zeile 70:
* Dadurch können bestenfalls Teilaspekte verbessert werden.
* Dadurch können bestenfalls Teilaspekte verbessert werden.


=== Unzureichende oder fehlgeleitete Investitionen ===
==== Unzureichende oder fehlgeleitete Investitionen ====
Wenn die Institutionsleitung nicht ausreichend über den Sicherheitszustand sämtlicher Geschäftsprozesse, IT-Systeme und Anwendungen sowie über vorhandene Mängel unterrichtet ist, werden nicht genügend Ressourcen für den Sicherheitsprozess bereitgestellt oder diese nicht sachgerecht eingesetzt.
Wenn die Institutionsleitung nicht ausreichend über den Sicherheitszustand sämtlicher Geschäftsprozesse, IT-Systeme und Anwendungen sowie über vorhandene Mängel unterrichtet ist, werden nicht genügend Ressourcen für den Sicherheitsprozess bereitgestellt oder diese nicht sachgerecht eingesetzt.
* In letzterem Fall kann dies dazu führen, dass einem übertrieben hohen Sicherheitsniveau in einem Teilbereich schwerwiegende Mängel in einem anderen gegenüberstehen.
* In letzterem Fall kann dies dazu führen, dass einem übertrieben hohen Sicherheitsniveau in einem Teilbereich schwerwiegende Mängel in einem anderen gegenüberstehen.
Zeile 67: Zeile 76:
Häufig ist auch zu beobachten, dass teure technische Sicherheitslösungen falsch eingesetzt werden und somit unwirksam sind oder sogar selbst zur Gefahrenquelle werden.
Häufig ist auch zu beobachten, dass teure technische Sicherheitslösungen falsch eingesetzt werden und somit unwirksam sind oder sogar selbst zur Gefahrenquelle werden.


=== Unzureichende Durchsetzbarkeit von Sicherheitsmaßnahmen ===
==== Unzureichende Durchsetzbarkeit von Sicherheitsmaßnahmen ====
Um ein durchgehendes und angemessenes Sicherheitsniveau zu erreichen, müssen unterschiedliche Zuständigkeitsbereiche innerhalb einer Institution miteinander kooperieren.
Um ein durchgehendes und angemessenes Sicherheitsniveau zu erreichen, müssen unterschiedliche Zuständigkeitsbereiche innerhalb einer Institution miteinander kooperieren.
* Fehlende strategische Leitaussagen und unklare Zielsetzungen führen mitunter aber zu unterschiedlichen Interpretationen der Bedeutung von Informationssicherheit.
* Fehlende strategische Leitaussagen und unklare Zielsetzungen führen mitunter aber zu unterschiedlichen Interpretationen der Bedeutung von Informationssicherheit.
Zeile 73: Zeile 82:
* Somit könnten Sicherheitsmaßnahmen nicht umgesetzt werden.
* Somit könnten Sicherheitsmaßnahmen nicht umgesetzt werden.


=== Fehlende Aktualisierung im Sicherheitsprozess ===
==== Fehlende Aktualisierung im Sicherheitsprozess ====
Neue Geschäftsprozesse, Anwendungen und IT-Systeme sowie neue Bedrohungen beeinflussen permanent den Status der Informationssicherheit innerhalb einer Institution.
Neue Geschäftsprozesse, Anwendungen und IT-Systeme sowie neue Bedrohungen beeinflussen permanent den Status der Informationssicherheit innerhalb einer Institution.
* Fehlt ein effektives Revisionskonzept, das auch das Bewusstsein für neue Bedrohungen stärkt, verringert sich das Sicherheitsniveau.
* Fehlt ein effektives Revisionskonzept, das auch das Bewusstsein für neue Bedrohungen stärkt, verringert sich das Sicherheitsniveau.
* Aus der realen Sicherheit wird dann schleichend eine gefährliche Scheinsicherheit.
* Aus der realen Sicherheit wird dann schleichend eine gefährliche Scheinsicherheit.


=== Verstoß gegen gesetzliche Regelungen und vertragliche Vereinbarungen ===
==== Verstoß gegen gesetzliche Regelungen und vertragliche Vereinbarungen ====
Wenn Informationen, Geschäftsprozesse und IT-Systeme einer Institution unzureichend abgesichert sind, beispielsweise durch ein unzureichendes Sicherheitsmanagement, kann gegen Rechtsvorschriften mit Bezug zur Informationsverarbeitung oder gegen bestehende Verträge mit Geschäftspartnern und -partnerinnen verstoßen werden.
Wenn Informationen, Geschäftsprozesse und IT-Systeme einer Institution unzureichend abgesichert sind, beispielsweise durch ein unzureichendes Sicherheitsmanagement, kann gegen Rechtsvorschriften mit Bezug zur Informationsverarbeitung oder gegen bestehende Verträge mit Geschäftspartnern und -partnerinnen verstoßen werden.
* Welche Gesetze jeweils zu beachten sind, hängt von der Art der Institution beziehungsweise ihrer Geschäftsprozesse und Dienstleistungen ab.
* Welche Gesetze jeweils zu beachten sind, hängt von der Art der Institution beziehungsweise ihrer Geschäftsprozesse und Dienstleistungen ab.


Je nachdem, wo sich die Standorte einer Institution befinden, können auch verschiedene nationale und internationale Vorschriften zu beachten sein.
Je nachdem, wo sich die Standorte einer Institution befinden, können auch verschiedene nationale und internationale Vorschriften zu beachten sein.
* Verfügt eine Institution über unzureichende Kenntnisse hinsichtlich internationaler Gesetzesvorgaben, z.
* Verfügt eine Institution über unzureichende Kenntnisse hinsichtlich internationaler Gesetzesvorgaben, z. B. zu Datenschutz, Informationspflicht, Insolvenzrecht, Haftung oder Informationszugriff für Dritte, erhöht dies das Risiko entsprechender Verstöße.
* B.
* zu Datenschutz, Informationspflicht, Insolvenzrecht, Haftung oder Informationszugriff für Dritte, erhöht dies das Risiko entsprechender Verstöße.
* Dann drohen rechtliche Konsequenzen.
* Dann drohen rechtliche Konsequenzen.


Zeile 91: Zeile 98:
* Verstößt ein Vertragspartner oder -partnerin gegen vertraglich geregelte Sicherheitsanforderungen, kann dies Vertragsstrafen, Vertragsauflösungen oder sogar den Verlust von Geschäftsbeziehungen nach sich ziehen.
* Verstößt ein Vertragspartner oder -partnerin gegen vertraglich geregelte Sicherheitsanforderungen, kann dies Vertragsstrafen, Vertragsauflösungen oder sogar den Verlust von Geschäftsbeziehungen nach sich ziehen.


=== Störung der Geschäftsabläufe aufgrund von Sicherheitsvorfällen ===
==== Störung der Geschäftsabläufe aufgrund von Sicherheitsvorfällen ====
Sicherheitsvorfälle können durch ein einzelnes Ereignis oder eine Verkettung unglücklicher Umstände ausgelöst werden.
Sicherheitsvorfälle können durch ein einzelnes Ereignis oder eine Verkettung unglücklicher Umstände ausgelöst werden.
* Sie können dazu führen, dass die Vertraulichkeit, Integrität oder Verfügbarkeit von Informationen und IT-Systemen beeinträchtigt werden.
* Sie können dazu führen, dass die Vertraulichkeit, Integrität oder Verfügbarkeit von Informationen und IT-Systemen beeinträchtigt werden.
Zeile 100: Zeile 107:
* In vielen Fällen führt die Verkettung kleiner Ursachen zu großen Schäden.
* In vielen Fällen führt die Verkettung kleiner Ursachen zu großen Schäden.


=== Unwirtschaftlicher Umgang mit Ressourcen durch unzureichendes Sicherheitsmanagement ===
==== Unwirtschaftlicher Umgang mit Ressourcen durch unzureichendes Sicherheitsmanagement ====
Ein unzureichendes Sicherheitsmanagement kann dazu führen, dass falsche Prioritäten gesetzt werden und nicht an denjenigen Stellen investiert wird, die den größten Mehrwert für die Institution bringen.
Ein unzureichendes Sicherheitsmanagement kann dazu führen, dass falsche Prioritäten gesetzt werden und nicht an denjenigen Stellen investiert wird, die den größten Mehrwert für die Institution bringen.
* Dies kann zu folgenden Fehlern führen:* Es wird in teure Sicherheitslösungen investiert, ohne dass eine Basis an notwendigen organisatorischen Regelungen vorhanden ist.
* Dies kann zu folgenden Fehlern führen:
* Es wird in teure Sicherheitslösungen investiert, ohne dass eine Basis an notwendigen organisatorischen Regelungen vorhanden ist.
* Nicht geklärte Zuständigkeiten und Verantwortlichkeiten können trotz teurer Investitionen zu schweren Sicherheitsvorfällen führen.
* Nicht geklärte Zuständigkeiten und Verantwortlichkeiten können trotz teurer Investitionen zu schweren Sicherheitsvorfällen führen.
* Es wird in den Bereichen einer Institution in Informationssicherheit investiert, die für Informationssicherheit besonders sensibilisiert sind.
* Es wird in den Bereichen einer Institution in Informationssicherheit investiert, die für Informationssicherheit besonders sensibilisiert sind.
Zeile 126: Zeile 134:
* Bei strategischen Entscheidungen ist der oder die ISB stets einzubeziehen.
* Bei strategischen Entscheidungen ist der oder die ISB stets einzubeziehen.


Im IT-Grundschutz-Kompendium sind darüber hinaus weitere Rollen definiert.
Im IT-Grundschutz/Kompendium sind darüber hinaus weitere Rollen definiert.
* Sie sollten besetzt werden, insofern dies sinnvoll und angemessen ist.
* Sie sollten besetzt werden, insofern dies sinnvoll und angemessen ist.


Zeile 149: Zeile 157:


=== Basis-Anforderungen ===
=== Basis-Anforderungen ===
Die folgenden Anforderungen MÜSSEN für diesen Baustein vorrangig erfüllt werden.
Basis-Anforderungen MÜSSEN vorrangig erfüllt werden.


==== ISMS.1.A1 Übernahme der Gesamtverantwortung für Informationssicherheit durch die Leitung (B) [Institutionsleitung] ====
{| class="wikitable options"
|-
! Anforderung !! Beschreibung !! Rolle
|-
| A1 || [[#A1 Übernahme der Gesamtverantwortung für Informationssicherheit durch die Leitung|Übernahme der Gesamtverantwortung für Informationssicherheit durch die Leitung]] || [[Institutionsleitung]]
|-
| A2 || [[#A2 Festlegung der Sicherheitsziele und -strategie|Festlegung der Sicherheitsziele und -strategie]] || [[Institutionsleitung]]
|-
| A3 || [[#A3 Erstellung einer Leitlinie zur Informationssicherheit| Erstellung einer Leitlinie zur Informationssicherheit]] || [[Institutionsleitung]]
|-
| A4 || [[#A4 Benennung eines oder einer Informationssicherheitsbeauftragten|Benennung eines oder einer Informationssicherheitsbeauftragten]] || [[Institutionsleitung]]
|-
| A5 || [[#A5 Vertragsgestaltung bei Bestellung eines oder einer externen Informationssicherheitsbeauftragten|Vertragsgestaltung bei Bestellung eines oder einer externen Informationssicherheitsbeauftragten]] || [[Institutionsleitung]]
|-
| A6 || [[#A6 Aufbau einer geeigneten Organisationsstruktur für Informationssicherheit| Aufbau einer geeigneten Organisationsstruktur für Informationssicherheit]] || [[Institutionsleitung]]
|-
| A7 || [[#A7 Festlegung von Sicherheitsmaßnahmen|Festlegung von Sicherheitsmaßnahmen]] || [[Vorgesetzte]]
|-
| A8 || [[#A8 Integration der Mitarbeitenden in den Sicherheitsprozess| Integration der Mitarbeitenden in den Sicherheitsprozess]] ||
|-
| A9 || [[#A9 Integration der Informationssicherheit in organisationsweite Abläufe und Prozesse| Integration der Informationssicherheit in organisationsweite Abläufe und Prozesse]] || [[Institutionsleitung]]
|}
 
==== A1 Übernahme der Gesamtverantwortung für Informationssicherheit durch die Leitung ====
Die Institutionsleitung MUSS die Gesamtverantwortung für Informationssicherheit in der Institution übernehmen.
Die Institutionsleitung MUSS die Gesamtverantwortung für Informationssicherheit in der Institution übernehmen.
* Dies MUSS für alle Beteiligten deutlich erkennbar sein.
* Dies MUSS für alle Beteiligten deutlich erkennbar sein.
Zeile 163: Zeile 194:
* Insbesondere MUSS sich die Institutionsleitung über mögliche Risiken und Konsequenzen aufgrund fehlender Sicherheitsmaßnahmen informieren lassen.
* Insbesondere MUSS sich die Institutionsleitung über mögliche Risiken und Konsequenzen aufgrund fehlender Sicherheitsmaßnahmen informieren lassen.


==== ISMS.1.A2 Festlegung der Sicherheitsziele und -strategie (B) [Institutionsleitung] ====
==== A2 Festlegung der Sicherheitsziele und -strategie ====
Die Institutionsleitung MUSS den Sicherheitsprozess initiieren und etablieren.
Die Institutionsleitung MUSS den Sicherheitsprozess initiieren und etablieren.
* Dafür MUSS die Institutionsleitung angemessene Sicherheitsziele sowie eine Strategie für Informationssicherheit festlegen und dokumentieren.
* Dafür MUSS die Institutionsleitung angemessene Sicherheitsziele sowie eine Strategie für Informationssicherheit festlegen und dokumentieren.
Zeile 171: Zeile 202:
* Die Institutionsleitung MUSS die Sicherheitsziele und die Sicherheitsstrategie regelmäßig dahingehend überprüfen, ob sie noch aktuell und angemessen sind und wirksam umgesetzt werden können.
* Die Institutionsleitung MUSS die Sicherheitsziele und die Sicherheitsstrategie regelmäßig dahingehend überprüfen, ob sie noch aktuell und angemessen sind und wirksam umgesetzt werden können.


==== ISMS.1.A3 Erstellung einer Leitlinie zur Informationssicherheit (B) [Institutionsleitung] ====
==== A3 Erstellung einer Leitlinie zur Informationssicherheit ====
Die Institutionsleitung MUSS eine übergeordnete Leitlinie zur Informationssicherheit verabschieden.
Die Institutionsleitung MUSS eine übergeordnete Leitlinie zur Informationssicherheit verabschieden.
* Diese MUSS den Stellenwert der Informationssicherheit, die Sicherheitsziele, die wichtigsten Aspekte der Sicherheitsstrategie sowie die Organisationsstruktur für Informationssicherheit beschreiben.
* Diese MUSS den Stellenwert der Informationssicherheit, die Sicherheitsziele, die wichtigsten Aspekte der Sicherheitsstrategie sowie die Organisationsstruktur für Informationssicherheit beschreiben.
Zeile 180: Zeile 211:
* Die Leitlinie zur Informationssicherheit SOLLTE regelmäßig aktualisiert werden.
* Die Leitlinie zur Informationssicherheit SOLLTE regelmäßig aktualisiert werden.


==== ISMS.1.A4 Benennung eines oder einer Informationssicherheitsbeauftragten (B) [Institutionsleitung] ====
==== A4 Benennung eines oder einer Informationssicherheitsbeauftragten (B) [Institutionsleitung] ====
Die Institutionsleitung MUSS einen oder eine ISB benennen.
Die Institutionsleitung MUSS einen oder eine ISB benennen.
* Der oder die ISB MUSS die Informationssicherheit in der Institution fördern und den Sicherheitsprozess mitsteuern und koordinieren.
* Der oder die ISB MUSS die Informationssicherheit in der Institution fördern und den Sicherheitsprozess mitsteuern und koordinieren.
Zeile 189: Zeile 220:
Der oder die ISB MUSS bei allen größeren Projekten sowie bei der Einführung neuer Anwendungen und IT-Systeme frühzeitig beteiligt werden.
Der oder die ISB MUSS bei allen größeren Projekten sowie bei der Einführung neuer Anwendungen und IT-Systeme frühzeitig beteiligt werden.


==== ISMS.1.A5 Vertragsgestaltung bei Bestellung eines oder einer externen Informationssicherheitsbeauftragten (B) [Institutionsleitung] ====
==== A5 Vertragsgestaltung bei Bestellung eines oder einer externen Informationssicherheitsbeauftragten ====
Die Institutionsleitung MUSS einen externen oder eine externe ISB bestellen, wenn die Rolle des oder der ISB nicht durch einen internen Mitarbeitenden besetzt werden kann.
Die Institutionsleitung MUSS einen externen oder eine externe ISB bestellen, wenn die Rolle des oder der ISB nicht durch einen internen Mitarbeitenden besetzt werden kann.
* Der Vertrag mit einem oder einer externen ISB MUSS alle Aufgaben des oder der ISB sowie die damit verbundenen Rechte und Pflichten umfassen.
* Der Vertrag mit einem oder einer externen ISB MUSS alle Aufgaben des oder der ISB sowie die damit verbundenen Rechte und Pflichten umfassen.
Zeile 195: Zeile 226:
* Der Vertrag MUSS eine kontrollierte Beendigung des Vertragsverhältnisses, einschließlich der Übergabe der Aufgaben an die Auftraggebenden, gewährleisten.
* Der Vertrag MUSS eine kontrollierte Beendigung des Vertragsverhältnisses, einschließlich der Übergabe der Aufgaben an die Auftraggebenden, gewährleisten.


==== ISMS.1.A6 Aufbau einer geeigneten Organisationsstruktur für Informationssicherheit (B) [Institutionsleitung] ====
==== A6 Aufbau einer geeigneten Organisationsstruktur für Informationssicherheit ====
Eine geeignete übergreifende Organisationsstruktur für Informationssicherheit MUSS vorhanden sein.
Eine geeignete übergreifende Organisationsstruktur für Informationssicherheit MUSS vorhanden sein.
* Dafür MÜSSEN Rollen definiert sein, die konkrete Aufgaben übernehmen, um die Sicherheitsziele zu erreichen.
* Dafür MÜSSEN Rollen definiert sein, die konkrete Aufgaben übernehmen, um die Sicherheitsziele zu erreichen.
Zeile 207: Zeile 238:
Es MUSS regelmäßig geprüft werden, ob die Organisationsstruktur für Informationssicherheit noch angemessen ist oder ob sie an neue Rahmenbedingungen angepasst werden muss.
Es MUSS regelmäßig geprüft werden, ob die Organisationsstruktur für Informationssicherheit noch angemessen ist oder ob sie an neue Rahmenbedingungen angepasst werden muss.


==== ISMS.1.A7 Festlegung von Sicherheitsmaßnahmen (B) ====
==== A7 Festlegung von Sicherheitsmaßnahmen ====
Im Rahmen des Sicherheitsprozesses MÜSSEN für die gesamte Informationsverarbeitung ausführliche und angemessene Sicherheitsmaßnahmen festgelegt werden.
Im Rahmen des Sicherheitsprozesses MÜSSEN für die gesamte Informationsverarbeitung ausführliche und angemessene Sicherheitsmaßnahmen festgelegt werden.
* Alle Sicherheitsmaßnahmen SOLLTEN systematisch in Sicherheitskonzepten dokumentiert werden.
* Alle Sicherheitsmaßnahmen SOLLTEN systematisch in Sicherheitskonzepten dokumentiert werden.
* Die Sicherheitsmaßnahmen SOLLTEN regelmäßig aktualisiert werden.
* Die Sicherheitsmaßnahmen SOLLTEN regelmäßig aktualisiert werden.


==== ISMS.1.A8 Integration der Mitarbeitenden in den Sicherheitsprozess (B) [Vorgesetzte] ====
==== A8 Integration der Mitarbeitenden in den Sicherheitsprozess ====
Alle Mitarbeitenden MÜSSEN in den Sicherheitsprozess integriert sein.
Alle Mitarbeitenden MÜSSEN in den Sicherheitsprozess integriert sein.
* Hierfür MÜSSEN sie über Hintergründe und die für sie relevanten Gefährdungen informiert sein.
* Hierfür MÜSSEN sie über Hintergründe und die für sie relevanten Gefährdungen informiert sein.
Zeile 224: Zeile 255:
Die Mitarbeitenden MÜSSEN darüber aufgeklärt werden, welche Konsequenzen eine Verletzung der Sicherheitsvorgaben haben kann.
Die Mitarbeitenden MÜSSEN darüber aufgeklärt werden, welche Konsequenzen eine Verletzung der Sicherheitsvorgaben haben kann.


==== ISMS.1.A9 Integration der Informationssicherheit in organisationsweite Abläufe und Prozesse (B) [Institutionsleitung] ====
==== A9 Integration der Informationssicherheit in organisationsweite Abläufe und Prozesse (B) [Institutionsleitung] ====
Informationssicherheit MUSS in alle Geschäftsprozesse sowie Fachaufgaben integriert werden.
Informationssicherheit MUSS in alle Geschäftsprozesse sowie Fachaufgaben integriert werden.
* Es MUSS dabei gewährleistet sein, dass nicht nur bei neuen Prozessen und Projekten, sondern auch bei laufenden Aktivitäten alle erforderlichen Sicherheitsaspekte berücksichtigt werden.
* Es MUSS dabei gewährleistet sein, dass nicht nur bei neuen Prozessen und Projekten, sondern auch bei laufenden Aktivitäten alle erforderlichen Sicherheitsaspekte berücksichtigt werden.
Zeile 242: Zeile 273:
! Anforderung !! Beschreibung !! Rolle
! Anforderung !! Beschreibung !! Rolle
|-
|-
| A16 || [[#A16 Spezifikation der Netzarchitektur|Spezifikation der Netzarchitektur]] ||
| A10 || [[#A10 Erstellung eines Sicherheitskonzepts|Erstellung eines Sicherheitskonzepts]] ||
|-
| A17 || [[#A17 Spezifikation des Netzdesigns|Spezifikation des Netzdesigns]] ||
|-
| A18 || [[#A18 P-A-P-Struktur für die Internet-Anbindung|P-A-P-Struktur für die Internet-Anbindung]] ||
|-
| A19 || [[#A19 Separierung der Infrastrukturdienste|Separierung der Infrastrukturdienste]] ||
|-
| A20 || [[#A20 Zuweisung dedizierter Subnetze für IPv4/IPv6-Endgerätegruppen|Zuweisung dedizierter Subnetze für IPv4/IPv6-Endgerätegruppen]] ||
|-
| A21 || [[#A21 Separierung des Management-Bereichs|Separierung des Management-Bereichs]] ||
|-
|-
| A22 || [[#A22 Spezifikation des Segmentierungskonzepts|Spezifikation des Segmentierungskonzepts]] ||
| A11 || [[#A11 Aufrechterhaltung der Informationssicherheit|Aufrechterhaltung der Informationssicherheit]] ||
|-
|-
| A23 || [[#A23 Trennung von Netzsegmenten|Trennung von Netzsegmenten]] ||
| A12 || [[#A12 Management-Berichte zur Informationssicherheit|Management-Berichte zur Informationssicherheit]] || [[Institutionsleitung]]
|-
|-
| A24 || [[#A24 Sichere logische Trennung mittels VLAN|Sichere logische Trennung mittels VLAN]] ||
| A13 || [[#A13 Dokumentation des Sicherheitsprozesses|Dokumentation des Sicherheitsprozesses]] ||
|-
|-
| A25 || [[#A25 Fein- und Umsetzungsplanung von Netzarchitektur und -design|Fein- und Umsetzungsplanung von Netzarchitektur und -design]] ||
| A14 || ENTFALLEN ||
|-
|-
| A26 || [[#A26 Spezifikation von Betriebsprozessen für das Netz|Spezifikation von Betriebsprozessen für das Netz]] ||
| A15 || [[#A15 Wirtschaftlicher Einsatz von Ressourcen für Informationssicherheit|Wirtschaftlicher Einsatz von Ressourcen für Informationssicherheit]] ||
|-
| A27 || [[#A27 Einbindung der Netzarchitektur in die Notfallplanung|Einbindung der Netzarchitektur in die Notfallplanung]] || [[IT-Betrieb]]
|}
|}


==== ISMS.1.A10 Erstellung eines Sicherheitskonzepts (S) ====
==== A10 Erstellung eines Sicherheitskonzepts ====
Für den festgelegten Geltungsbereich (Informationsverbund) SOLLTE ein angemessenes Sicherheitskonzept als das zentrale Dokument im Sicherheitsprozess erstellt werden.
Für den festgelegten Geltungsbereich (Informationsverbund) SOLLTE ein angemessenes Sicherheitskonzept als das zentrale Dokument im Sicherheitsprozess erstellt werden.
* Es SOLLTE entschieden werden, ob das Sicherheitskonzept aus einem oder aus mehreren Teilkonzepten bestehen soll, die sukzessive erstellt werden, um zunächst in ausgewählten Bereichen das erforderliche Sicherheitsniveau herzustellen.
* Es SOLLTE entschieden werden, ob das Sicherheitskonzept aus einem oder aus mehreren Teilkonzepten bestehen soll, die sukzessive erstellt werden, um zunächst in ausgewählten Bereichen das erforderliche Sicherheitsniveau herzustellen.
Zeile 277: Zeile 296:
* Dies MUSS geplant und die Umsetzung MUSS kontrolliert werden.
* Dies MUSS geplant und die Umsetzung MUSS kontrolliert werden.


==== ISMS.1.A11 Aufrechterhaltung der Informationssicherheit (S) ====
==== A11 Aufrechterhaltung der Informationssicherheit ====
Der Sicherheitsprozess, die Sicherheitskonzepte, die Leitlinie zur Informationssicherheit und die Organisationsstruktur für Informationssicherheit SOLLTEN regelmäßig auf Wirksamkeit und Angemessenheit überprüft und aktualisiert werden.
Der Sicherheitsprozess, die Sicherheitskonzepte, die Leitlinie zur Informationssicherheit und die Organisationsstruktur für Informationssicherheit SOLLTEN regelmäßig auf Wirksamkeit und Angemessenheit überprüft und aktualisiert werden.
* Dazu SOLLTEN regelmäßig Vollständigkeits- bzw. Aktualisierungsprüfungen des Sicherheitskonzeptes durchgeführt werden.
* Dazu SOLLTEN regelmäßig Vollständigkeits- bzw. Aktualisierungsprüfungen des Sicherheitskonzeptes durchgeführt werden.


Ebenso SOLLTEN regelmäßig Sicherheitsrevisionen durchgeführt werden.
Ebenso SOLLTEN regelmäßig Sicherheitsrevisionen durchgeführt werden.
Zeile 288: Zeile 307:
* Darauf aufbauend SOLLTEN Mängel beseitigt und Korrekturmaßnahmen ergriffen werden.
* Darauf aufbauend SOLLTEN Mängel beseitigt und Korrekturmaßnahmen ergriffen werden.


==== ISMS.1.A12 Management-Berichte zur Informationssicherheit (S) [Institutionsleitung] ====
==== A12 Management-Berichte zur Informationssicherheit ====
Die Institutionsleitung SOLLTE sich regelmäßig über den Stand der Informationssicherheit informieren, insbesondere über die aktuelle Gefährdungslage sowie die Wirksamkeit und Effizienz des Sicherheitsprozesses.
Die Institutionsleitung SOLLTE sich regelmäßig über den Stand der Informationssicherheit informieren, insbesondere über die aktuelle Gefährdungslage sowie die Wirksamkeit und Effizienz des Sicherheitsprozesses.
* Dazu SOLLTEN Management-Berichte geschrieben werden, welche die wesentlichen relevanten Informationen über den Sicherheitsprozess enthalten, insbesondere über Probleme, Erfolge und Verbesserungsmöglichkeiten.
* Dazu SOLLTEN Management-Berichte geschrieben werden, welche die wesentlichen relevanten Informationen über den Sicherheitsprozess enthalten, insbesondere über Probleme, Erfolge und Verbesserungsmöglichkeiten.
Zeile 298: Zeile 317:
* Die Management-Entscheidungen SOLLTEN revisionssicher archiviert werden.
* Die Management-Entscheidungen SOLLTEN revisionssicher archiviert werden.


==== ISMS.1.A13 Dokumentation des Sicherheitsprozesses (S) ====
==== A13 Dokumentation des Sicherheitsprozesses ====
Der Ablauf des Sicherheitsprozesses SOLLTE dokumentiert werden.
Der Ablauf des Sicherheitsprozesses SOLLTE dokumentiert werden.
* Wichtige Entscheidungen und die Arbeitsergebnisse der einzelnen Phasen wie Sicherheitskonzept, Richtlinien oder Untersuchungsergebnisse von Sicherheitsvorfällen SOLLTEN ausreichend dokumentiert werden.
* Wichtige Entscheidungen und die Arbeitsergebnisse der einzelnen Phasen wie Sicherheitskonzept, Richtlinien oder Untersuchungsergebnisse von Sicherheitsvorfällen SOLLTEN ausreichend dokumentiert werden.
Zeile 307: Zeile 326:
* Außerdem SOLLTEN alle Vorgängerversionen zentral archiviert werden.
* Außerdem SOLLTEN alle Vorgängerversionen zentral archiviert werden.


==== ISMS.1.A14 ENTFALLEN (S) ====
==== A15 Wirtschaftlicher Einsatz von Ressourcen für Informationssicherheit ====
Diese Anforderung ist entfallen.
 
==== ISMS.1.A15 Wirtschaftlicher Einsatz von Ressourcen für Informationssicherheit (S) ====
Die Sicherheitsstrategie SOLLTE wirtschaftliche Aspekte berücksichtigen.
Die Sicherheitsstrategie SOLLTE wirtschaftliche Aspekte berücksichtigen.
* Werden Sicherheitsmaßnahmen festgelegt, SOLLTEN die dafür erforderlichen Ressourcen beziffert werden.
* Werden Sicherheitsmaßnahmen festgelegt, SOLLTEN die dafür erforderlichen Ressourcen beziffert werden.
Zeile 327: Zeile 343:
! Anforderung !! Beschreibung !! Rolle
! Anforderung !! Beschreibung !! Rolle
|-
|-
| A28 || [[#A28 Hochverfügbare Netz- und Sicherheitskomponenten | Hochverfügbare Netz- und Sicherheitskomponenten]] ||
| A16 || [[#A16 Erstellung von zielgruppengerechten Sicherheitsrichtlinien | A16 Erstellung von zielgruppengerechten Sicherheitsrichtlinien]] ||
|-
|-
| A29 || [[#A29 Hochverfügbare Realisierung von Netzanbindungen | Hochverfügbare Realisierung von Netzanbindungen]] ||
| A17 || [[#A17 Abschließen von Versicherungen | Abschließen von Versicherungen]] ||
|}
 
==== A16 Erstellung von zielgruppengerechten Sicherheitsrichtlinien ====
Neben allgemeinen SOLLTE es auch zielgruppenorientierte Sicherheitsrichtlinien geben, die jeweils bedarfsgerecht die relevanten Sicherheitsthemen abbilden.
 
==== A17 Abschließen von Versicherungen ====
Es SOLLTE regelmäßig überprüft werden, ob die bestehenden Versicherungen der aktuellen Lage entsprechen.
 
== Standards ==
{| class="wikitable sortable options"
|-
|-
| A30 || [[#A30 Schutz vor Distributed-Denial-of-Service|Schutz vor Distributed-Denial-of-Service]] ||
! Option !! Beschreibung
|-
|-
| A31 || [[#A31 Physische Trennung von Netzsegmenten|Physische Trennung von Netzsegmenten]] ||
| [[BSI-Standard 200-1]] || Anforderungen an ein Managementsystem für Informationssicherheit (ISMS)
* Er ist kompatibel zu ISO-Standard 27001
* Berücksichtigt die Empfehlungen vieler anderer ISO-Standards
|-
|-
| A32 || [[#A32 Physische Trennung von Management-Netzsegmenten|Physische Trennung von Management-Netzsegmenten]] ||
| [[BSI-Standard 200-2]] || Basis der BSI-Methodik zum Aufbau eines Informationssicherheitsmanagements (ISMS)
* Etabliert drei Vorgehensweisen bei der Umsetzung des IT-Grundschutzes
|-
|-
| A33 || [[#A33 Mikrosegmentierung des Netzes|Mikrosegmentierung des Netzes]] ||
| [[ISO/IEC 27000]] || Information security management systems - Overview and vocabulary
* Überblick über Managementsysteme für Informationssicherheit (ISMS)
* Zusammenhänge der verschiedenen Normen der ISO/IEC 2700x-Familie
* Grundlegenden Begriffe und Definitionen für ISMS
|-
|-
| A34 || [[#A34 Einsatz kryptografischer Verfahren auf Netzebene|Einsatz kryptografischer Verfahren auf Netzebene]] ||
| [[ISO/IEC 27001]] ||Information security management systems - Requirements
* Internationale Norm zum Management von Informationssicherheit, die eine Zertifizierung ermöglicht.
|-
|-
| A35 || [[#A35 Einsatz von netzbasiertem DLP|Einsatz von netzbasiertem DLP]] ||
| [[ISO/IEC 27002]] || Code of practice for information security controls
|-
* Auswahl und Umsetzung von den in der ISO/IEC 27001 beschriebenen Maßnahmen
| A36 || [[#A36 Trennung mittels VLAN bei sehr hohem Schutzbedarf|Trennung mittels VLAN bei sehr hohem Schutzbedarf]] ||
* Funktionierendes Sicherheitsmanagement aufbauen und in der Institution verankern
|}
|}
==== ISMS.1.A16 Erstellung von zielgruppengerechten Sicherheitsrichtlinien (H) ====
Neben den allgemeinen SOLLTE es auch zielgruppenorientierte Sicherheitsrichtlinien geben, die jeweils bedarfsgerecht die relevanten Sicherheitsthemen abbilden.
==== ISMS.1.A17 Abschließen von Versicherungen (H) ====
Es SOLLTE geprüft werden, ob für Restrisiken Versicherungen abgeschlossen werden können.
* Es SOLLTE regelmäßig überprüft werden, ob die bestehenden Versicherungen der aktuellen Lage entsprechen.


== Anhang ==
== Anhang ==
Zeile 358: Zeile 383:
{{Special:PrefixIndex/Sicherheitsmanagement}}
{{Special:PrefixIndex/Sicherheitsmanagement}}


==== Wissenswertes ====
Der BSI-Standard 200-1 definiert allgemeine Anforderungen an ein Managementsystem für Informationssicherheit (ISMS).
* Er ist außerdem kompatibel zum ISO-Standard 27001 und berücksichtigt die Empfehlungen vieler anderer ISO-Standards.
Der BSI-Standard 200-2 bildet die Basis der bewährten BSI-Methodik zum Aufbau eines soliden Informationssicherheitsmanagements (ISMS).
* Er etabliert drei neue Vorgehensweisen bei der Umsetzung des IT-Grundschutzes.
* Aufgrund der ähnlichen Struktur der beiden Standards 200-1 und 200-2 können Anwendende sich gut in beiden Dokumenten zurechtfinden.
Die ISO/IEC 27000 (Information security management systems - Overview and vocabulary) gibt einen Überblick über Managementsysteme für Informationssicherheit (ISMS) und über die Zusammenhänge der verschiedenen Normen der ISO/IEC 2700x-Familie.
* Hier finden sich außerdem die grundlegenden Begriffe und Definitionen für ISMS.
Die ISO/IEC 27001 (Information security management systems - Requirements) ist eine internationale Norm zum Management von Informationssicherheit, die auch eine Zertifizierung ermöglicht.
Die ISO/IEC 27002 (Code of practice for information security controls) unterstützt bei der Auswahl und Umsetzung von den in der ISO/IEC 27001 beschriebenen Maßnahmen, um ein funktionierendes Sicherheitsmanagement aufzubauen und in der Institution zu verankern.
==== Dokumentation ====
===== RFC =====
===== Man-Pages =====
===== Info-Pages =====
==== Links ====
==== Links ====
===== Einzelnachweise =====
<references />
===== Projekt =====
===== Weblinks =====
===== Weblinks =====
<noinclude>
<noinclude>


=== Testfragen ===
[[Kategorie:ISMS]]
<div class="toccolours mw-collapsible mw-collapsed">
''Testfrage 1''
<div class="mw-collapsible-content">'''Antwort1'''</div>
</div>
<div class="toccolours mw-collapsible mw-collapsed">
''Testfrage 2''
<div class="mw-collapsible-content">'''Antwort2'''</div>
</div>
<div class="toccolours mw-collapsible mw-collapsed">
''Testfrage 3''
<div class="mw-collapsible-content">'''Antwort3'''</div>
</div>
<div class="toccolours mw-collapsible mw-collapsed">
''Testfrage 4''
<div class="mw-collapsible-content">'''Antwort4'''</div>
</div>
<div class="toccolours mw-collapsible mw-collapsed">
''Testfrage 5''
<div class="mw-collapsible-content">'''Antwort5'''</div>
</div>
 
[[Kategorie:Grundschutz/Kompendium]]
</noinclude>
</noinclude>

Aktuelle Version vom 22. Oktober 2024, 13:42 Uhr

ISMS.1 Sicherheitsmanagement - Baustein des IT-Grundschutz/Kompendiums

Beschreibung

Informationssicherheitsmanagement
  • Herstellung von Informationssicherheit
  • aufbauen und kontinuierlich umsetzen
Durchdachter und wirksamen Prozess
  • Planung
  • Lenkung
  • Kontrolle
Ein funktionierendes Sicherheitsmanagement muss in die existierenden Managementstrukturen jeder Institution eingebettet werden.
  • Daher ist es praktisch nicht möglich, eine für jede Institution unmittelbar anwendbare Organisationsstruktur für das Sicherheitsmanagement anzugeben.
  • Vielmehr werden häufig Anpassungen an spezifische Gegebenheiten erforderlich sein.
Zielsetzung

Aufzeigen, wie ein funktionierendes Managementsystem für Informationssicherheit (ISMS)

  • eingerichtet und
  • im laufenden Betrieb weiterentwickelt werden kann.

Der Baustein beschreibt dazu Schritte eines systematischen Sicherheitsprozesses und gibt Anleitungen zur Erstellung eines Sicherheitskonzeptes.

Abgrenzung und Modellierung

Der Baustein ISMS.1 Sicherheitsmanagement ist auf den Informationsverbund einmal anzuwenden.

Der Baustein baut auf den BSI-Standards 200-1 „Managementsysteme für Informationssicherheit“ und 200-2 „IT-Grundschutz-Methodik“ auf.

  • Er fasst daraus die wichtigsten Aspekte zum Sicherheitsmanagement zusammen.
In der Institution sollten regelmäßig Sicherheitsrevisionen durchgeführt werden.
  • Ausführliche Anforderungen dazu sind nicht in diesem Baustein, sondern im Baustein DER 3.1 Audits und Revisionen zu finden.
  • Außerdem sollten alle Mitarbeitenden der Institution sowie alle relevanten Externen systematisch und zielgruppengerecht zu Sicherheitsrisiken sensibilisiert und zu Fragen der Informationssicherheit geschult werden.
  • Ausführliche Anforderungen dazu sind im Baustein ORP.3 Sensibilisierung und Schulung zur Informationssicherheit zu finden.
Dieser Baustein behandelt ebenso keine spezifischen Aspekte zu Personal oder zum Bereich Organisation.
  • Diese Anforderungen werden in den Bausteinen ORP.2 Personal bzw.  ORP.1 Organisation behandelt.

Gefährdungslage

Typische Szenarien
Gefährdung Beschreibung
Fehlende persönliche Verantwortung Rollen und Zuständigkeiten nicht eindeutig festgelegt
Mangelnde Unterstützung durch die Institutionsleitung Sicherheitsprozess nicht vollständig durchführbar
Unzureichende strategische und konzeptionelle Vorgaben Ohne strategische Vorgaben wird häufig unstrukturiert vorgegangen.

Fehlende persönliche Verantwortung

Fehlende persönliche Verantwortung im Sicherheitsprozess

Sind in einer Institution die Rollen und Zuständigkeiten im Sicherheitsprozess nicht eindeutig festgelegt, dann ist es wahrscheinlich, dass viele Mitarbeitende ihre Verantwortung für die Informationssicherheit mit dem Verweis auf übergeordnete Hierarchie-Ebenen ablehnen oder vergessen.

  • Als Folge werden Sicherheitsmaßnahmen nicht umgesetzt, da diese zunächst fast immer einen Mehraufwand im gewohnten Arbeitsablauf darstellen.

Mangelnde Unterstützung durch die Institutionsleitung

Werden die Sicherheitsverantwortlichen nicht uneingeschränkt durch die Institutionsleitung unterstützt, kann es schwierig werden, die notwendigen Maßnahmen einzufordern.

  • Dies gilt insbesondere für Personen, die in der Linienstruktur über den Sicherheitsverantwortlichen stehen.
  • In diesem Fall ist der Sicherheitsprozess nicht vollständig durchführbar.

Unzureichende strategische und konzeptionelle Vorgaben

In vielen Institutionen wird zwar ein Sicherheitskonzept erstellt, dessen Inhalt ist dann aber häufig nur wenigen Personen in der Institution bekannt.

  • Dies führt dazu, dass Vorgaben an Stellen, an denen organisatorischer Aufwand zu betreiben wäre, bewusst oder unbewusst nicht eingehalten werden.

Auch wenn das Sicherheitskonzept strategische Zielsetzungen enthält, werden diese von der Institutionsleitung vielfach als bloße Sammlung von Absichtserklärungen betrachtet.

  • Häufig werden dann keine ausreichenden Ressourcen zur Umsetzung zur Verfügung gestellt.
  • Oft wird fälschlicherweise auch davon ausgegangen, dass in einer automatisierten Umgebung Sicherheit automatisch hergestellt wird.

Ohne strategische Vorgaben wird bei Schadensfällen häufig unstrukturiert vorgegangen.

  • Dadurch können bestenfalls Teilaspekte verbessert werden.

Unzureichende oder fehlgeleitete Investitionen

Wenn die Institutionsleitung nicht ausreichend über den Sicherheitszustand sämtlicher Geschäftsprozesse, IT-Systeme und Anwendungen sowie über vorhandene Mängel unterrichtet ist, werden nicht genügend Ressourcen für den Sicherheitsprozess bereitgestellt oder diese nicht sachgerecht eingesetzt.

  • In letzterem Fall kann dies dazu führen, dass einem übertrieben hohen Sicherheitsniveau in einem Teilbereich schwerwiegende Mängel in einem anderen gegenüberstehen.

Häufig ist auch zu beobachten, dass teure technische Sicherheitslösungen falsch eingesetzt werden und somit unwirksam sind oder sogar selbst zur Gefahrenquelle werden.

Unzureichende Durchsetzbarkeit von Sicherheitsmaßnahmen

Um ein durchgehendes und angemessenes Sicherheitsniveau zu erreichen, müssen unterschiedliche Zuständigkeitsbereiche innerhalb einer Institution miteinander kooperieren.

  • Fehlende strategische Leitaussagen und unklare Zielsetzungen führen mitunter aber zu unterschiedlichen Interpretationen der Bedeutung von Informationssicherheit.
  • Dies kann zur Folge haben, dass die notwendige Kooperation nicht zustande kommt, etwa weil die Aufgabe „Informationssicherheit“ als unnötig angesehen wird oder zumindest keine Priorität hat.
  • Somit könnten Sicherheitsmaßnahmen nicht umgesetzt werden.

Fehlende Aktualisierung im Sicherheitsprozess

Neue Geschäftsprozesse, Anwendungen und IT-Systeme sowie neue Bedrohungen beeinflussen permanent den Status der Informationssicherheit innerhalb einer Institution.

  • Fehlt ein effektives Revisionskonzept, das auch das Bewusstsein für neue Bedrohungen stärkt, verringert sich das Sicherheitsniveau.
  • Aus der realen Sicherheit wird dann schleichend eine gefährliche Scheinsicherheit.

Verstoß gegen gesetzliche Regelungen und vertragliche Vereinbarungen

Wenn Informationen, Geschäftsprozesse und IT-Systeme einer Institution unzureichend abgesichert sind, beispielsweise durch ein unzureichendes Sicherheitsmanagement, kann gegen Rechtsvorschriften mit Bezug zur Informationsverarbeitung oder gegen bestehende Verträge mit Geschäftspartnern und -partnerinnen verstoßen werden.

  • Welche Gesetze jeweils zu beachten sind, hängt von der Art der Institution beziehungsweise ihrer Geschäftsprozesse und Dienstleistungen ab.

Je nachdem, wo sich die Standorte einer Institution befinden, können auch verschiedene nationale und internationale Vorschriften zu beachten sein.

  • Verfügt eine Institution über unzureichende Kenntnisse hinsichtlich internationaler Gesetzesvorgaben, z. B. zu Datenschutz, Informationspflicht, Insolvenzrecht, Haftung oder Informationszugriff für Dritte, erhöht dies das Risiko entsprechender Verstöße.
  • Dann drohen rechtliche Konsequenzen.

In vielen Branchen ist es üblich, dass Anwendende ihre Zuliefer- und Dienstleistungsunternehmen dazu verpflichten, bestimmte Qualitäts- und Sicherheitsstandards einzuhalten.

  • Verstößt ein Vertragspartner oder -partnerin gegen vertraglich geregelte Sicherheitsanforderungen, kann dies Vertragsstrafen, Vertragsauflösungen oder sogar den Verlust von Geschäftsbeziehungen nach sich ziehen.

Störung der Geschäftsabläufe aufgrund von Sicherheitsvorfällen

Sicherheitsvorfälle können durch ein einzelnes Ereignis oder eine Verkettung unglücklicher Umstände ausgelöst werden.

  • Sie können dazu führen, dass die Vertraulichkeit, Integrität oder Verfügbarkeit von Informationen und IT-Systemen beeinträchtigt werden.
  • Dies wirkt sich dann schnell negativ auf wesentliche Fachaufgaben und Geschäftsprozesse der betroffenen Institution aus.
  • Auch wenn nicht alle Sicherheitsvorfälle in der Öffentlichkeit bekannt werden, können sie trotzdem zu negativen Auswirkungen in den Beziehungen zu Geschäftspartnern und -partnerinnen sowie Kunden und Kundinnen führen.
  • Auch könnten gesetzliche Vorgaben missachtet werden.
  • Dabei ist es nicht so, dass die schwersten und weitreichendsten Sicherheitsvorfälle durch die größten Sicherheitsschwachstellen ausgelöst wurden.
  • In vielen Fällen führt die Verkettung kleiner Ursachen zu großen Schäden.

Unwirtschaftlicher Umgang mit Ressourcen durch unzureichendes Sicherheitsmanagement

Ein unzureichendes Sicherheitsmanagement kann dazu führen, dass falsche Prioritäten gesetzt werden und nicht an denjenigen Stellen investiert wird, die den größten Mehrwert für die Institution bringen.

  • Dies kann zu folgenden Fehlern führen:
  • Es wird in teure Sicherheitslösungen investiert, ohne dass eine Basis an notwendigen organisatorischen Regelungen vorhanden ist.
  • Nicht geklärte Zuständigkeiten und Verantwortlichkeiten können trotz teurer Investitionen zu schweren Sicherheitsvorfällen führen.
  • Es wird in den Bereichen einer Institution in Informationssicherheit investiert, die für Informationssicherheit besonders sensibilisiert sind.
  • Andere Bereiche, die vielleicht für die Erfüllung der Fachaufgaben und die Erreichung der Geschäftsziele wichtiger sind, werden aufgrund von knappen Mitteln oder Desinteresse der Verantwortlichen vernachlässigt.
  • Es wird dann unausgewogen in Teilbereiche investiert, während für das Gesamtsystem besonders bedeutsame Sicherheitsrisiken unbeachtet bleiben.
  • Durch die einseitige Erhöhung des Schutzes einzelner Grundwerte kann sich der Gesamtschutz sogar verringern, beispielsweise indem eine Verschlüsselung von Informationen die Vertraulichkeit zwar erhöht, aber die Verfügbarkeit verringern kann.
  • Ein inhomogener und unkoordinierter Einsatz von Sicherheitsprodukten kann zu hohem finanziellen und personellen Ressourceneinsatz führen.

Anforderungen

Schutzbedarf Beschreibung
Basis MÜSSEN vorrangig erfüllt werden
Standard SOLLTEN grundsätzlich erfüllt werden
Erhöht Exemplarische Vorschläge

Im Folgenden sind die spezifischen Anforderungen des Bausteins ISMS.1 Sicherheitsmanagement aufgeführt.

  • Der oder die Informationssicherheitsbeauftragte (ISB) ist dafür zuständig, dass alle Anforderungen gemäß dem festgelegten Sicherheitskonzept erfüllt und überprüft werden.
  • Bei strategischen Entscheidungen ist der oder die ISB stets einzubeziehen.

Im IT-Grundschutz/Kompendium sind darüber hinaus weitere Rollen definiert.

  • Sie sollten besetzt werden, insofern dies sinnvoll und angemessen ist.


Zuständigkeiten Rollen
Grundsätzlich zuständig Informationssicherheitsbeauftragte (ISB)
Weitere Zuständigkeiten Vorgesetzte, Institutionsleitung

Genau eine Rolle sollte Grundsätzlich zuständig sein.

  • Darüber hinaus kann es noch Weitere Zuständigkeiten geben.
  • Falls eine dieser weiteren Rollen für die Erfüllung einer Anforderung vorrangig zuständig ist, dann wird diese Rolle hinter der Überschrift der Anforderung in eckigen Klammern aufgeführt.
  • Die Verwendung des Singulars oder Plurals sagt nichts darüber aus, wie viele Personen diese Rollen ausfüllen sollen.

Basis-Anforderungen

Basis-Anforderungen MÜSSEN vorrangig erfüllt werden.

Anforderung Beschreibung Rolle
A1 Übernahme der Gesamtverantwortung für Informationssicherheit durch die Leitung Institutionsleitung
A2 Festlegung der Sicherheitsziele und -strategie Institutionsleitung
A3 Erstellung einer Leitlinie zur Informationssicherheit Institutionsleitung
A4 Benennung eines oder einer Informationssicherheitsbeauftragten Institutionsleitung
A5 Vertragsgestaltung bei Bestellung eines oder einer externen Informationssicherheitsbeauftragten Institutionsleitung
A6 Aufbau einer geeigneten Organisationsstruktur für Informationssicherheit Institutionsleitung
A7 Festlegung von Sicherheitsmaßnahmen Vorgesetzte
A8 Integration der Mitarbeitenden in den Sicherheitsprozess
A9 Integration der Informationssicherheit in organisationsweite Abläufe und Prozesse Institutionsleitung

A1 Übernahme der Gesamtverantwortung für Informationssicherheit durch die Leitung

Die Institutionsleitung MUSS die Gesamtverantwortung für Informationssicherheit in der Institution übernehmen.

  • Dies MUSS für alle Beteiligten deutlich erkennbar sein.
  • Die Institutionsleitung MUSS den Sicherheitsprozess initiieren, steuern und kontrollieren.
  • Die Institutionsleitung MUSS Informationssicherheit vorleben.

Die Institutionsleitung MUSS die Zuständigkeiten für Informationssicherheit festlegen.

  • Die zuständigen Mitarbeitenden MÜSSEN mit den erforderlichen Kompetenzen und Ressourcen ausgestattet werden.

Die Institutionsleitung MUSS sich regelmäßig über den Status der Informationssicherheit informieren lassen.

  • Insbesondere MUSS sich die Institutionsleitung über mögliche Risiken und Konsequenzen aufgrund fehlender Sicherheitsmaßnahmen informieren lassen.

A2 Festlegung der Sicherheitsziele und -strategie

Die Institutionsleitung MUSS den Sicherheitsprozess initiieren und etablieren.

  • Dafür MUSS die Institutionsleitung angemessene Sicherheitsziele sowie eine Strategie für Informationssicherheit festlegen und dokumentieren.
  • Es MÜSSEN konzeptionelle Vorgaben erarbeitet und organisatorische Rahmenbedingungen geschaffen werden, um den ordnungsgemäßen und sicheren Umgang mit Informationen innerhalb aller Geschäftsprozesse des Unternehmens oder Fachaufgaben der Behörde zu ermöglichen.

Die Institutionsleitung MUSS die Sicherheitsstrategie und die Sicherheitsziele tragen und verantworten.

  • Die Institutionsleitung MUSS die Sicherheitsziele und die Sicherheitsstrategie regelmäßig dahingehend überprüfen, ob sie noch aktuell und angemessen sind und wirksam umgesetzt werden können.

A3 Erstellung einer Leitlinie zur Informationssicherheit

Die Institutionsleitung MUSS eine übergeordnete Leitlinie zur Informationssicherheit verabschieden.

  • Diese MUSS den Stellenwert der Informationssicherheit, die Sicherheitsziele, die wichtigsten Aspekte der Sicherheitsstrategie sowie die Organisationsstruktur für Informationssicherheit beschreiben.
  • Für die Sicherheitsleitlinie MUSS ein klarer Geltungsbereich festgelegt sein.
  • In der Leitlinie zur Informationssicherheit MÜSSEN die Sicherheitsziele und der Bezug der Sicherheitsziele zu den Geschäftszielen und Aufgaben der Institution erläutert werden.

Die Institutionsleitung MUSS die Leitlinie zur Informationssicherheit allen Mitarbeitenden und sonstigen Mitgliedern der Institution bekannt geben.

  • Die Leitlinie zur Informationssicherheit SOLLTE regelmäßig aktualisiert werden.

A4 Benennung eines oder einer Informationssicherheitsbeauftragten (B) [Institutionsleitung]

Die Institutionsleitung MUSS einen oder eine ISB benennen.

  • Der oder die ISB MUSS die Informationssicherheit in der Institution fördern und den Sicherheitsprozess mitsteuern und koordinieren.

Die Institutionsleitung MUSS den oder die ISB mit angemessenen Ressourcen ausstatten.

  • Die Institutionsleitung MUSS dem oder der ISB die Möglichkeit einräumen, bei Bedarf direkt an sie selbst zu berichten.

Der oder die ISB MUSS bei allen größeren Projekten sowie bei der Einführung neuer Anwendungen und IT-Systeme frühzeitig beteiligt werden.

A5 Vertragsgestaltung bei Bestellung eines oder einer externen Informationssicherheitsbeauftragten

Die Institutionsleitung MUSS einen externen oder eine externe ISB bestellen, wenn die Rolle des oder der ISB nicht durch einen internen Mitarbeitenden besetzt werden kann.

  • Der Vertrag mit einem oder einer externen ISB MUSS alle Aufgaben des oder der ISB sowie die damit verbundenen Rechte und Pflichten umfassen.
  • Der Vertrag MUSS eine geeignete Vertraulichkeitsvereinbarung umfassen.
  • Der Vertrag MUSS eine kontrollierte Beendigung des Vertragsverhältnisses, einschließlich der Übergabe der Aufgaben an die Auftraggebenden, gewährleisten.

A6 Aufbau einer geeigneten Organisationsstruktur für Informationssicherheit

Eine geeignete übergreifende Organisationsstruktur für Informationssicherheit MUSS vorhanden sein.

  • Dafür MÜSSEN Rollen definiert sein, die konkrete Aufgaben übernehmen, um die Sicherheitsziele zu erreichen.
  • Außerdem MÜSSEN qualifizierte Personen benannt werden, denen ausreichend Ressourcen zur Verfügung stehen, um diese Rollen zu übernehmen.
  • Die Aufgaben, Rollen, Verantwortungen und Kompetenzen im Sicherheitsmanagement MÜSSEN nachvollziehbar definiert und zugewiesen sein.
  • Für alle wichtigen Funktionen der Organisation für Informationssicherheit MUSS es wirksame Vertretungsregelungen geben.

Kommunikationswege MÜSSEN geplant, beschrieben, eingerichtet und bekannt gemacht werden.

  • Es MUSS für alle Aufgaben und Rollen festgelegt sein, wer wen informiert und wer bei welchen Aktionen in welchem Umfang informiert werden muss.

Es MUSS regelmäßig geprüft werden, ob die Organisationsstruktur für Informationssicherheit noch angemessen ist oder ob sie an neue Rahmenbedingungen angepasst werden muss.

A7 Festlegung von Sicherheitsmaßnahmen

Im Rahmen des Sicherheitsprozesses MÜSSEN für die gesamte Informationsverarbeitung ausführliche und angemessene Sicherheitsmaßnahmen festgelegt werden.

  • Alle Sicherheitsmaßnahmen SOLLTEN systematisch in Sicherheitskonzepten dokumentiert werden.
  • Die Sicherheitsmaßnahmen SOLLTEN regelmäßig aktualisiert werden.

A8 Integration der Mitarbeitenden in den Sicherheitsprozess

Alle Mitarbeitenden MÜSSEN in den Sicherheitsprozess integriert sein.

  • Hierfür MÜSSEN sie über Hintergründe und die für sie relevanten Gefährdungen informiert sein.
  • Sie MÜSSEN Sicherheitsmaßnahmen kennen und umsetzen, die ihren Arbeitsplatz betreffen.

Alle Mitarbeitenden MÜSSEN in die Lage versetzt werden, Sicherheit aktiv mitzugestalten.

  • Daher SOLLTEN die Mitarbeitenden frühzeitig beteiligt werden, wenn Sicherheitsmaßnahmen zu planen oder organisatorische Regelungen zu gestalten sind.

Bei der Einführung von Sicherheitsrichtlinien und Sicherheitswerkzeugen MÜSSEN die Mitarbeitenden ausreichend informiert sein, wie diese anzuwenden sind.

Die Mitarbeitenden MÜSSEN darüber aufgeklärt werden, welche Konsequenzen eine Verletzung der Sicherheitsvorgaben haben kann.

A9 Integration der Informationssicherheit in organisationsweite Abläufe und Prozesse (B) [Institutionsleitung]

Informationssicherheit MUSS in alle Geschäftsprozesse sowie Fachaufgaben integriert werden.

  • Es MUSS dabei gewährleistet sein, dass nicht nur bei neuen Prozessen und Projekten, sondern auch bei laufenden Aktivitäten alle erforderlichen Sicherheitsaspekte berücksichtigt werden.
  • Der oder die Informationssicherheitsbeauftragte (ISB) MUSS an sicherheitsrelevanten Entscheidungen ausreichend beteiligt werden.

Informationssicherheit SOLLTE außerdem mit anderen Bereichen in der Institution, die sich mit Sicherheit und Risikomanagement beschäftigen, abgestimmt werden.

Standard

Standard-Anforderungen
  • SOLLTEN grundsätzlich erfüllt werden

Stand der Technik für Netzarchitektur und -design

  • Gemeinsam mit den Basis-Anforderungen
Anforderungen
Anforderung Beschreibung Rolle
A10 Erstellung eines Sicherheitskonzepts
A11 Aufrechterhaltung der Informationssicherheit
A12 Management-Berichte zur Informationssicherheit Institutionsleitung
A13 Dokumentation des Sicherheitsprozesses
A14 ENTFALLEN
A15 Wirtschaftlicher Einsatz von Ressourcen für Informationssicherheit

A10 Erstellung eines Sicherheitskonzepts

Für den festgelegten Geltungsbereich (Informationsverbund) SOLLTE ein angemessenes Sicherheitskonzept als das zentrale Dokument im Sicherheitsprozess erstellt werden.

  • Es SOLLTE entschieden werden, ob das Sicherheitskonzept aus einem oder aus mehreren Teilkonzepten bestehen soll, die sukzessive erstellt werden, um zunächst in ausgewählten Bereichen das erforderliche Sicherheitsniveau herzustellen.

Im Sicherheitskonzept MÜSSEN aus den Sicherheitszielen der Institution, dem identifizierten Schutzbedarf und der Risikobewertung konkrete Sicherheitsmaßnahmen passend zum betrachteten Informationsverbund abgeleitet werden.

  • Sicherheitsprozess und Sicherheitskonzept MÜSSEN die individuell geltenden Vorschriften und Regelungen berücksichtigen.

Die im Sicherheitskonzept vorgesehenen Maßnahmen MÜSSEN zeitnah in die Praxis umgesetzt werden.

  • Dies MUSS geplant und die Umsetzung MUSS kontrolliert werden.

A11 Aufrechterhaltung der Informationssicherheit

Der Sicherheitsprozess, die Sicherheitskonzepte, die Leitlinie zur Informationssicherheit und die Organisationsstruktur für Informationssicherheit SOLLTEN regelmäßig auf Wirksamkeit und Angemessenheit überprüft und aktualisiert werden.

  • Dazu SOLLTEN regelmäßig Vollständigkeits- bzw. Aktualisierungsprüfungen des Sicherheitskonzeptes durchgeführt werden.

Ebenso SOLLTEN regelmäßig Sicherheitsrevisionen durchgeführt werden.

  • Dazu SOLLTE geregelt sein, welche Bereiche und Sicherheitsmaßnahmen wann und von wem zu überprüfen sind. Überprüfungen des Sicherheitsniveaus SOLLTEN regelmäßig (mindestens jährlich) sowie anlassbezogen durchgeführt werden.

Die Prüfungen SOLLTEN von qualifizierten und unabhängigen Personen durchgeführt werden.

  • Die Ergebnisse der Überprüfungen SOLLTEN nachvollziehbar dokumentiert sein.
  • Darauf aufbauend SOLLTEN Mängel beseitigt und Korrekturmaßnahmen ergriffen werden.

A12 Management-Berichte zur Informationssicherheit

Die Institutionsleitung SOLLTE sich regelmäßig über den Stand der Informationssicherheit informieren, insbesondere über die aktuelle Gefährdungslage sowie die Wirksamkeit und Effizienz des Sicherheitsprozesses.

  • Dazu SOLLTEN Management-Berichte geschrieben werden, welche die wesentlichen relevanten Informationen über den Sicherheitsprozess enthalten, insbesondere über Probleme, Erfolge und Verbesserungsmöglichkeiten.
  • Die Management-Berichte SOLLTEN klar priorisierte Maßnahmenvorschläge enthalten.
  • Die Maßnahmenvorschläge SOLLTEN mit realistischen Abschätzungen zum erwarteten Umsetzungsaufwand versehen sein.
  • Die Management-Berichte SOLLTEN revisionssicher archiviert werden.

Die Management-Entscheidungen über erforderliche Aktionen, den Umgang mit Restrisiken und mit Veränderungen von sicherheitsrelevanten Prozessen SOLLTEN dokumentiert sein.

  • Die Management-Entscheidungen SOLLTEN revisionssicher archiviert werden.

A13 Dokumentation des Sicherheitsprozesses

Der Ablauf des Sicherheitsprozesses SOLLTE dokumentiert werden.

  • Wichtige Entscheidungen und die Arbeitsergebnisse der einzelnen Phasen wie Sicherheitskonzept, Richtlinien oder Untersuchungsergebnisse von Sicherheitsvorfällen SOLLTEN ausreichend dokumentiert werden.

Es SOLLTE eine geregelte Vorgehensweise für die Erstellung und Archivierung von Dokumentationen im Rahmen des Sicherheitsprozesses geben.

  • Regelungen SOLLTEN existieren, um die Aktualität und Vertraulichkeit der Dokumentationen zu wahren.
  • Von den vorhandenen Dokumenten SOLLTE die jeweils aktuelle Version kurzfristig zugänglich sein.
  • Außerdem SOLLTEN alle Vorgängerversionen zentral archiviert werden.

A15 Wirtschaftlicher Einsatz von Ressourcen für Informationssicherheit

Die Sicherheitsstrategie SOLLTE wirtschaftliche Aspekte berücksichtigen.

  • Werden Sicherheitsmaßnahmen festgelegt, SOLLTEN die dafür erforderlichen Ressourcen beziffert werden.
  • Die für Informationssicherheit eingeplanten Ressourcen SOLLTEN termingerecht bereitgestellt werden.
  • Bei Arbeitsspitzen oder besonderen Aufgaben SOLLTEN zusätzliche interne Mitarbeitenden eingesetzt oder externe Expertise hinzugezogen werden.

Erhöht

Exemplarische Vorschläge für erhöhten Schutzbedarf
  • Über das den Stand der Technik entsprechende Schutzniveau hinausgehend
SOLLTEN bei ERHÖHTEM SCHUTZBEDARF in Betracht gezogen werden
  • Festlegung im Rahmen einer Risikoanalyse
Anforderung Beschreibung Rolle
A16 A16 Erstellung von zielgruppengerechten Sicherheitsrichtlinien
A17 Abschließen von Versicherungen

A16 Erstellung von zielgruppengerechten Sicherheitsrichtlinien

Neben allgemeinen SOLLTE es auch zielgruppenorientierte Sicherheitsrichtlinien geben, die jeweils bedarfsgerecht die relevanten Sicherheitsthemen abbilden.

A17 Abschließen von Versicherungen

Es SOLLTE regelmäßig überprüft werden, ob die bestehenden Versicherungen der aktuellen Lage entsprechen.

Standards

Option Beschreibung
BSI-Standard 200-1 Anforderungen an ein Managementsystem für Informationssicherheit (ISMS)
  • Er ist kompatibel zu ISO-Standard 27001
  • Berücksichtigt die Empfehlungen vieler anderer ISO-Standards
BSI-Standard 200-2 Basis der BSI-Methodik zum Aufbau eines Informationssicherheitsmanagements (ISMS)
  • Etabliert drei Vorgehensweisen bei der Umsetzung des IT-Grundschutzes
ISO/IEC 27000 Information security management systems - Overview and vocabulary
  • Überblick über Managementsysteme für Informationssicherheit (ISMS)
  • Zusammenhänge der verschiedenen Normen der ISO/IEC 2700x-Familie
  • Grundlegenden Begriffe und Definitionen für ISMS
ISO/IEC 27001 Information security management systems - Requirements
  • Internationale Norm zum Management von Informationssicherheit, die eine Zertifizierung ermöglicht.
ISO/IEC 27002 Code of practice for information security controls
  • Auswahl und Umsetzung von den in der ISO/IEC 27001 beschriebenen Maßnahmen
  • Funktionierendes Sicherheitsmanagement aufbauen und in der Institution verankern

Anhang

Siehe auch

Links

Weblinks