|
|
(52 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt) |
Zeile 1: |
Zeile 1: |
| = TMP =
| | [[Kategorie:IT-Grundschutz/Hilfsmittel]] |
| | |
| == Beschreibung und Vorgehensweise ==
| |
| ; Anhand dieses Beispiels wird die IT-Grundschutz-Methodik gemäß BSI-Standard 200-2 dargestellt
| |
| * Die RECPLAST GmbH ist ein mittelständisches Unternehmen mit einem typischen Informationsverbund
| |
| | |
| ; Referenzdokumente
| |
| Dabei werden Auszüge aus den Referenzdokumenten verwendet
| |
| * die im Rahmen der IT-Grundschutz-Methodik erstellt werden
| |
| | |
| Die Referenzdokumente sind elementarer Bestandteil der IT-Grundschutz-Methodik und werden insbesondere für eine Zertifizierung nach ISO 27001 auf der Basis von IT-Grundschutz benötigt.
| |
| | |
| Die vollständigen Referenzdokumente der RECPLAST GmbH sind ebenfalls auf dieser Seite verfügbar.
| |
| * Beschreibung der RECPLAST GmbH
| |
| | |
| == Referenzdokumente ==
| |
| Die folgenden Dokumente zeigen beispielhaft auf, wie die Referenzdokumente aufgebaut sein können, die für eine Zertifizierung nach ISO 27001 auf Basis von IT-Grundschutz notwendig sind.
| |
| | |
| === Richtlinien für Informationssicherheit ===
| |
| ; Die Leitung einer Institution muss die Informationssicherheit steuern
| |
| * Dazu ist es unter anderem erforderlich, grundlegende Aspekte der Informationssicherheit zu regeln, Informationssicherheitsziele zu definieren und festzulegen, wie überprüft werden kann, dass die Ziele erreicht wurden.
| |
| * Informationssicherheit ist ein Prozess und muss kontinuierlich aufrechterhalten und verbessert werden.
| |
| | |
| ; Die IT-Grundschutz-Methodik sieht dazu vor, dass es mindestens folgende Richtlinien geben muss:
| |
| * Sicherheitsleitlinie
| |
| * Richtlinie zur Risikoanalyse
| |
| * Richtlinie zur Lenkung von Dokumenten und Aufzeichnungen
| |
| * Richtlinie zur internen ISMS-Auditierung
| |
| * Richtlinie zur Lenkung von Korrektur- und Vorbeugungsmaßnahmen
| |
| | |
| === Strukturanalyse ===
| |
| Die Strukturanalyse beschreibt den Informationsverbund und seine Einbindung in die Institution.
| |
| * Zur Strukturanalyse gehören:
| |
| | |
| * Abgrenzung des Informationsverbunds
| |
| * Strukturanalyse der RECPLAST GmbH
| |
| * Strukturanalyse Abhängigkeiten der RECPLAST GmbH
| |
| * Liste der Dienstleister
| |
| * Zuordnung Prozesse zu Standorten
| |
| | |
| === Schutzbedarfsfeststellung ===
| |
| Bei der Schutzbedarfsfeststellung wird zunächst der Schutzbedarf der Geschäftsprozesse bestimmt.
| |
| * Darauf aufbauend wird der Schutzbedarf der Anwendungen, IT-Systeme und aller weiteren Zielobjekte abgeleitet.
| |
| * Eventuelle Abweichungen werden begründet.
| |
| | |
| * Definition der Schutzbedarfskategorien
| |
| * Schutzbedarfsfeststellung
| |
| | |
| === Modellierung des Informationsverbunds ===
| |
| Die Modellierung listet alle Bausteine auf, die einem Zielobjekt zugeordnet wurden.
| |
| * Außerdem gibt es eine Liste von IT-Grundschutz-Bausteinen, die bei einem externen Dienstleister umgesetzt werden und eine Liste mit IT-Grundschutz-Bausteinen, die nicht verwendet werden.
| |
| | |
| * Modellierung der RECPLAST GmbH
| |
| * Bausteine, die nicht verwendet wurden.
| |
| | |
| === Ergebnis des IT-Grundschutz-Checks ===
| |
| Im IT-Grundschutz-Check wird für jedes Zielobjekt geprüft, ob die Anforderungen aus den relevanten IT-Grundschutz-Bausteinen umgesetzt sind.
| |
| * Aus Gründen der Übersichtlichkeit ist der IT-Grundschutz-Check der RECPLAST GmbH nur auszugsweise enthalten.
| |
| | |
| Ergebnis des IT-Grundschutz-Checks
| |
| | |
| === Risikoanalyse ===
| |
| Eine Risikoanalyse muss für alle Zielobjekte durchgeführt werden, die einen erhöhten Schutzbedarf haben, die unter besonderen Bedingungen eingesetzt werden oder für die es keinen IT-Grundschutz-Baustein gibt.
| |
| * Die Risikoanalyse muss gemäß der Richtlinie für Risikoanalyse durchgeführt werden.
| |
| | |
| * Risikoanalyse
| |
| * Risikoanalyse auf Geschäftsprozessebene
| |
| | |
| === Realisierungsplan ===
| |
| In den Realisierungsplan werden alle Anforderungen aufgenommen, die noch nicht (ausreichend) umgesetzt sind.
| |
| * Außerdem werden Maßnahmen, die sich aus der Risikoanalyse ergeben haben, im Realisierungsplan aufgenommen.
| |
| * Der Realisierungsplan soll darstellen, welche Maßnahmen durch wen, bis wann durchzuführen sind.
| |
| | |
| Realisierungsplan
| |
| | |
| [[Kategorie:Grundschutz/Hilfsmittel]] | |