BSI/200-3/Rückführung: Unterschied zwischen den Versionen

Aus Foxwiki
K Textersetzung - „Kategorie:BSI/Standard“ durch „Kategorie:Grundschutz/Standard“
Markierung: Manuelle Zurücksetzung
K Textersetzung - „BSI//“ durch „BSI/“
 
(28 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt)
Zeile 1: Zeile 1:
=== Beschreibung ===
; Nach der Konsolidierung des Sicherheitskonzepts
; Nächste Schritten
Zweiter Grundschutz-Check
Dies bedeutet insbesondere, dass in einem '''erneuten Grundschutz-Check'''
* Umsetzungsstatus der neu hinzugekommenen oder geänderten Maßnahmen
* prüfen und dokumentieren
*: https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/Grundschutz/Zertifizierte-Informationssicherheit/IT-Grundschutzschulung/Online-Kurs-Grundschutz/Lektion_6_IT-Grundschutz-Check/Lektion_6_node.html
; Zweiter Grundschutz-Check
Erforderlich!
* Da sich in der Regel durch die Risikoanalyse das Sicherheitskonzept geändert hat und der Umsetzungsstatus der neu hinzugekommenen oder geänderten Maßnahmen zu prüfen ist.
; Rückführung in den Sicherheitsprozess
; Rückführung in den Sicherheitsprozess
Nach der Konsolidierung des Sicherheitskonzepts kann der Sicherheitsprozess, wie er im BSI-Standard 200-2 IT-Grundschutz-Methodik (siehe [BSI2]) beschrieben ist, fortgesetzt werden.  
* Nach der Konsolidierung des Sicherheitskonzepts kann der Sicherheitsprozess, wie er im BSI-Standard 200-2 IT-Grundschutz-Methodik beschrieben ist, fortgesetzt werden.


=== Arbeitsschritte ===
; Ergänztes Sicherheitskonzept als Basis für folgende Arbeitsschritte
; Ergänztes Sicherheitskonzept als Basis für folgende Arbeitsschritte
* IT-Grundschutz-Check  
; IT-Grundschutz-Check  
** siehe Kapitel 8.4 der IT-Grundschutz-Methodik
* siehe Kapitel 8.4 der IT-Grundschutz-Methodik
** Im Rahmen der Vorar­beiten wurde bereits ein IT-Grundschutz-Check für die laut IT-Grundschutz-Modell zu erfüllenden Sicherheitsanforderungen durchgeführt.  
* Im Rahmen der Vorar­beiten wurde bereits ein IT-Grundschutz-Check für die laut IT-Grundschutz-Modell zu erfüllenden Sicherheitsanforderungen durchgeführt.  
** Da sich bei der Risikoanalyse in der Regel Änderungen am Sicherheitskonzept ergeben, ist anschließend noch der Umsetzungsstatus der neu hinzugekom­menen oder geänderten Anforderungen zu prüfen.  
* Da sich bei der Risikoanalyse in der Regel Änderungen am Sicherheitskonzept ergeben, ist anschließend noch der Umsetzungsstatus der neu hinzugekom­menen oder geänderten Anforderungen zu prüfen.  
** Gegebenenfalls veraltete Ergebnisse sollten auf den neuesten Stand gebracht werden.
* Gegebenenfalls veraltete Ergebnisse sollten auf den neuesten Stand gebracht werden.
* Umsetzung der Sicherheitskonzeption
 
** Kapitel 9 der IT-Grundschutz-Methodik
; Umsetzung der Sicherheitskonzeption
** Die im Sicher­heitskonzept für die einzelnen Zielobjekte vorgesehenen Sicherheitsanforderungen müssen erfüllt werden.  
* Kapitel 9 der IT-Grundschutz-Methodik
** Hierfür müssen die daraus abgeleiteten Sicherheitsmaßnahmen in die Praxis umgesetzt werden, damit sie wirksam werden können.  
* Die im Sicher­heitskonzept für die einzelnen Zielobjekte vorgesehenen Sicherheitsanforderungen müssen erfüllt werden.  
** Dies umfasst unter anderem eine Kosten- und Auf­wandsschätzung sowie die Festlegung der Umsetzungsreihenfolge.
* Hierfür müssen die daraus abgeleiteten Sicherheitsmaßnahmen in die Praxis umgesetzt werden, damit sie wirksam werden können.  
* Überprüfung des Informationssicherheitsprozesses in allen Ebenen
* Dies umfasst unter anderem eine Kosten- und Auf­wandsschätzung sowie die Festlegung der Umsetzungsreihenfolge.
** siehe Kapitel 10.1 der IT-Grundschutz-Methodik
 
** Zur Aufrechterhaltung und kontinuierlichen Verbesserung der Infor­mationssicherheit müssen unter anderem regelmäßig die Erfüllung der Sicherheitsanforderungen und die Eignung der Sicherheitsstrategie überprüft werden.  
; Überprüfung des Informationssicherheitsprozesses in allen Ebenen
** Die Ergebnisse der Überprüfungen fließen in die Fortschreibung des Sicherheitsprozesses ein.
* siehe Kapitel 10.1 der IT-Grundschutz-Methodik
* Informationsfluss im Informationssicherheitsprozess
* Zur Aufrechterhaltung und kontinuierlichen Verbesserung der Infor­mationssicherheit müssen unter anderem regelmäßig die Erfüllung der Sicherheitsanforderungen und die Eignung der Sicherheitsstrategie überprüft werden.  
** siehe Kapitel 5.2 der IT-Grund­schutz-Methodik
* Die Ergebnisse der Überprüfungen fließen in die Fortschreibung des Sicherheitsprozesses ein.
** Um Nachvollziehbarkeit zu erreichen, muss der Sicherheitsprozess auf allen Ebenen dokumentiert sein.  
 
** Dazu gehören insbesondere auch klare Regelungen für Meldewege und Informationsflüsse.  
; Informationsfluss im Informationssicherheitsprozess
** Die Leitungsebene muss von der Sicherheitsorganisation regelmäßig und in angemessener Form über den Stand der Informationssicherheit informiert werden.
* siehe Kapitel 5.2 der IT-Grund­schutz-Methodik
* ISO 27001-Zertifizierung auf der Basis von IT-Grundschutz  
* Um Nachvollziehbarkeit zu erreichen, muss der Sicherheitsprozess auf allen Ebenen dokumentiert sein.  
** siehe Kapitel 11 der IT-Grund­schutz-Methodik
* Dazu gehören insbesondere auch klare Regelungen für Meldewege und Informationsflüsse.  
** In vielen Fällen ist es wünschenswert, den Stellenwert der Informationssicher­heit und die erfolgreiche Umsetzung des IT-Grundschutzes in einer Behörde bzw. einem Unterneh­men transparent zu machen.  
* Die Leitungsebene muss von der Sicherheitsorganisation regelmäßig und in angemessener Form über den Stand der Informationssicherheit informiert werden.
** Hierfür bietet sich eine ISO 27001-Zertifizierung auf der Basis von IT-Grundschutz an.  
 
** Nach der Konsolidierung des Sicherheitskonzepts kann der Sicherheitsprozess, wie er im BSI-Standard 200-2 IT-Grundschutz-Methodik (siehe [BSI2]) beschrieben ist, fortgesetzt werden.
; ISO 27001-Zertifizierung auf der Basis von IT-Grundschutz  
* siehe Kapitel 11 der IT-Grund­schutz-Methodik
* In vielen Fällen ist es wünschenswert, den Stellenwert der Informationssicher­heit und die erfolgreiche Umsetzung des IT-Grundschutzes in einer Behörde bzw. einem Unterneh­men transparent zu machen.  
* Hierfür bietet sich eine ISO 27001-Zertifizierung auf der Basis von IT-Grundschutz an.  
* Nach der Konsolidierung des Sicherheitskonzepts kann der Sicherheitsprozess, wie er im BSI-Standard 200-2 IT-Grundschutz-Methodik (siehe [BSI2]) beschrieben ist, fortgesetzt werden.


[[Kategorie:Grundschutz/Standard/200-3]]
<noinclude>
== Anhang ==
=== Siehe auch ===
{{Special:PrefixIndex/{{BASEPAGENAME}}}}
==== Links ====
===== Weblinks =====
[[Kategorie:BSI/200-3]]
</noinclude>

Aktuelle Version vom 3. Oktober 2024, 09:14 Uhr

Beschreibung

Nach der Konsolidierung des Sicherheitskonzepts
Nächste Schritten

Zweiter Grundschutz-Check

Dies bedeutet insbesondere, dass in einem erneuten Grundschutz-Check

Zweiter Grundschutz-Check

Erforderlich!

  • Da sich in der Regel durch die Risikoanalyse das Sicherheitskonzept geändert hat und der Umsetzungsstatus der neu hinzugekommenen oder geänderten Maßnahmen zu prüfen ist.
Rückführung in den Sicherheitsprozess
  • Nach der Konsolidierung des Sicherheitskonzepts kann der Sicherheitsprozess, wie er im BSI-Standard 200-2 IT-Grundschutz-Methodik beschrieben ist, fortgesetzt werden.

Arbeitsschritte

Ergänztes Sicherheitskonzept als Basis für folgende Arbeitsschritte
IT-Grundschutz-Check
  • siehe Kapitel 8.4 der IT-Grundschutz-Methodik
  • Im Rahmen der Vorar­beiten wurde bereits ein IT-Grundschutz-Check für die laut IT-Grundschutz-Modell zu erfüllenden Sicherheitsanforderungen durchgeführt.
  • Da sich bei der Risikoanalyse in der Regel Änderungen am Sicherheitskonzept ergeben, ist anschließend noch der Umsetzungsstatus der neu hinzugekom­menen oder geänderten Anforderungen zu prüfen.
  • Gegebenenfalls veraltete Ergebnisse sollten auf den neuesten Stand gebracht werden.
Umsetzung der Sicherheitskonzeption
  • Kapitel 9 der IT-Grundschutz-Methodik
  • Die im Sicher­heitskonzept für die einzelnen Zielobjekte vorgesehenen Sicherheitsanforderungen müssen erfüllt werden.
  • Hierfür müssen die daraus abgeleiteten Sicherheitsmaßnahmen in die Praxis umgesetzt werden, damit sie wirksam werden können.
  • Dies umfasst unter anderem eine Kosten- und Auf­wandsschätzung sowie die Festlegung der Umsetzungsreihenfolge.
Überprüfung des Informationssicherheitsprozesses in allen Ebenen
  • siehe Kapitel 10.1 der IT-Grundschutz-Methodik
  • Zur Aufrechterhaltung und kontinuierlichen Verbesserung der Infor­mationssicherheit müssen unter anderem regelmäßig die Erfüllung der Sicherheitsanforderungen und die Eignung der Sicherheitsstrategie überprüft werden.
  • Die Ergebnisse der Überprüfungen fließen in die Fortschreibung des Sicherheitsprozesses ein.
Informationsfluss im Informationssicherheitsprozess
  • siehe Kapitel 5.2 der IT-Grund­schutz-Methodik
  • Um Nachvollziehbarkeit zu erreichen, muss der Sicherheitsprozess auf allen Ebenen dokumentiert sein.
  • Dazu gehören insbesondere auch klare Regelungen für Meldewege und Informationsflüsse.
  • Die Leitungsebene muss von der Sicherheitsorganisation regelmäßig und in angemessener Form über den Stand der Informationssicherheit informiert werden.
ISO 27001-Zertifizierung auf der Basis von IT-Grundschutz
  • siehe Kapitel 11 der IT-Grund­schutz-Methodik
  • In vielen Fällen ist es wünschenswert, den Stellenwert der Informationssicher­heit und die erfolgreiche Umsetzung des IT-Grundschutzes in einer Behörde bzw. einem Unterneh­men transparent zu machen.
  • Hierfür bietet sich eine ISO 27001-Zertifizierung auf der Basis von IT-Grundschutz an.
  • Nach der Konsolidierung des Sicherheitskonzepts kann der Sicherheitsprozess, wie er im BSI-Standard 200-2 IT-Grundschutz-Methodik (siehe [BSI2]) beschrieben ist, fortgesetzt werden.


Anhang

Siehe auch

Links

Weblinks