BSI/200-3/Rückführung: Unterschied zwischen den Versionen

Aus Foxwiki
K Textersetzung - „BSI//“ durch „BSI/“
 
(21 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt)
Zeile 1: Zeile 1:
=== Beschreibung ===
=== Beschreibung ===
; Nach der Konsolidierung des Sicherheitskonzepts kann der Sicherheitsprozess mit den nächsten Schritten fortgesetzt werden.
; Nach der Konsolidierung des Sicherheitskonzepts
* Dies bedeutet insbesondere, dass in einem '''erneuten Grundschutz-Check''' der Umsetzungsstatus der neu hinzugekommenen oder geänderten Maßnahmen zu prüfen und zu dokumentieren ist, wie in der [https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/IT-Grundschutz/Zertifizierte-Informationssicherheit:IT-Grundschutzschulung/Online-Kurs-IT-Grundschutz/Lektion_6_IT-Grundschutz-Check/Lektion_6_node.html vorherigen Lektion] beschrieben.


; Zweiter Grundschutz-Check ist erforderlich
; Nächste Schritten
Da sich in der Regel durch die Risikoanalyse das Sicherheitskonzept geändert hat und der Umsetzungsstatus der neu hinzugekommenen oder geänderten Maßnahmen zu prüfen ist.
Zweiter Grundschutz-Check
 
Dies bedeutet insbesondere, dass in einem '''erneuten Grundschutz-Check'''
* Umsetzungsstatus der neu hinzugekommenen oder geänderten Maßnahmen
* prüfen und dokumentieren
*: https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/Grundschutz/Zertifizierte-Informationssicherheit/IT-Grundschutzschulung/Online-Kurs-Grundschutz/Lektion_6_IT-Grundschutz-Check/Lektion_6_node.html
 
; Zweiter Grundschutz-Check
Erforderlich!
* Da sich in der Regel durch die Risikoanalyse das Sicherheitskonzept geändert hat und der Umsetzungsstatus der neu hinzugekommenen oder geänderten Maßnahmen zu prüfen ist.


; Rückführung in den Sicherheitsprozess
; Rückführung in den Sicherheitsprozess
Nach der Konsolidierung des Sicherheitskonzepts kann der Sicherheitsprozess, wie er im BSI-Standard 200-2 IT-Grundschutz-Methodik (siehe [BSI2]) beschrieben ist, fortgesetzt werden.  
* Nach der Konsolidierung des Sicherheitskonzepts kann der Sicherheitsprozess, wie er im BSI-Standard 200-2 IT-Grundschutz-Methodik beschrieben ist, fortgesetzt werden.


=== Folgende Arbeitsschritte ===
=== Arbeitsschritte ===
; Ergänztes Sicherheitskonzept als Basis für folgende Arbeitsschritte
; Ergänztes Sicherheitskonzept als Basis für folgende Arbeitsschritte
# IT-Grundschutz-Check  
; IT-Grundschutz-Check  
#* siehe Kapitel 8.4 der IT-Grundschutz-Methodik
* siehe Kapitel 8.4 der IT-Grundschutz-Methodik
#* Im Rahmen der Vorar­beiten wurde bereits ein IT-Grundschutz-Check für die laut IT-Grundschutz-Modell zu erfüllenden Sicherheitsanforderungen durchgeführt.  
* Im Rahmen der Vorar­beiten wurde bereits ein IT-Grundschutz-Check für die laut IT-Grundschutz-Modell zu erfüllenden Sicherheitsanforderungen durchgeführt.  
#* Da sich bei der Risikoanalyse in der Regel Änderungen am Sicherheitskonzept ergeben, ist anschließend noch der Umsetzungsstatus der neu hinzugekom­menen oder geänderten Anforderungen zu prüfen.  
* Da sich bei der Risikoanalyse in der Regel Änderungen am Sicherheitskonzept ergeben, ist anschließend noch der Umsetzungsstatus der neu hinzugekom­menen oder geänderten Anforderungen zu prüfen.  
#* Gegebenenfalls veraltete Ergebnisse sollten auf den neuesten Stand gebracht werden.
* Gegebenenfalls veraltete Ergebnisse sollten auf den neuesten Stand gebracht werden.
# Umsetzung der Sicherheitskonzeption
 
#* Kapitel 9 der IT-Grundschutz-Methodik
; Umsetzung der Sicherheitskonzeption
#* Die im Sicher­heitskonzept für die einzelnen Zielobjekte vorgesehenen Sicherheitsanforderungen müssen erfüllt werden.  
* Kapitel 9 der IT-Grundschutz-Methodik
#* Hierfür müssen die daraus abgeleiteten Sicherheitsmaßnahmen in die Praxis umgesetzt werden, damit sie wirksam werden können.  
* Die im Sicher­heitskonzept für die einzelnen Zielobjekte vorgesehenen Sicherheitsanforderungen müssen erfüllt werden.  
#* Dies umfasst unter anderem eine Kosten- und Auf­wandsschätzung sowie die Festlegung der Umsetzungsreihenfolge.
* Hierfür müssen die daraus abgeleiteten Sicherheitsmaßnahmen in die Praxis umgesetzt werden, damit sie wirksam werden können.  
# Überprüfung des Informationssicherheitsprozesses in allen Ebenen
* Dies umfasst unter anderem eine Kosten- und Auf­wandsschätzung sowie die Festlegung der Umsetzungsreihenfolge.
#* siehe Kapitel 10.1 der IT-Grundschutz-Methodik
 
#* Zur Aufrechterhaltung und kontinuierlichen Verbesserung der Infor­mationssicherheit müssen unter anderem regelmäßig die Erfüllung der Sicherheitsanforderungen und die Eignung der Sicherheitsstrategie überprüft werden.  
; Überprüfung des Informationssicherheitsprozesses in allen Ebenen
#* Die Ergebnisse der Überprüfungen fließen in die Fortschreibung des Sicherheitsprozesses ein.
* siehe Kapitel 10.1 der IT-Grundschutz-Methodik
# Informationsfluss im Informationssicherheitsprozess
* Zur Aufrechterhaltung und kontinuierlichen Verbesserung der Infor­mationssicherheit müssen unter anderem regelmäßig die Erfüllung der Sicherheitsanforderungen und die Eignung der Sicherheitsstrategie überprüft werden.  
#* siehe Kapitel 5.2 der IT-Grund­schutz-Methodik
* Die Ergebnisse der Überprüfungen fließen in die Fortschreibung des Sicherheitsprozesses ein.
#* Um Nachvollziehbarkeit zu erreichen, muss der Sicherheitsprozess auf allen Ebenen dokumentiert sein.  
 
#* Dazu gehören insbesondere auch klare Regelungen für Meldewege und Informationsflüsse.  
; Informationsfluss im Informationssicherheitsprozess
#* Die Leitungsebene muss von der Sicherheitsorganisation regelmäßig und in angemessener Form über den Stand der Informationssicherheit informiert werden.
* siehe Kapitel 5.2 der IT-Grund­schutz-Methodik
# ISO 27001-Zertifizierung auf der Basis von IT-Grundschutz  
* Um Nachvollziehbarkeit zu erreichen, muss der Sicherheitsprozess auf allen Ebenen dokumentiert sein.  
#* siehe Kapitel 11 der IT-Grund­schutz-Methodik
* Dazu gehören insbesondere auch klare Regelungen für Meldewege und Informationsflüsse.  
#* In vielen Fällen ist es wünschenswert, den Stellenwert der Informationssicher­heit und die erfolgreiche Umsetzung des IT-Grundschutzes in einer Behörde bzw. einem Unterneh­men transparent zu machen.  
* Die Leitungsebene muss von der Sicherheitsorganisation regelmäßig und in angemessener Form über den Stand der Informationssicherheit informiert werden.
#* Hierfür bietet sich eine ISO 27001-Zertifizierung auf der Basis von IT-Grundschutz an.  
 
#* Nach der Konsolidierung des Sicherheitskonzepts kann der Sicherheitsprozess, wie er im BSI-Standard 200-2 IT-Grundschutz-Methodik (siehe [BSI2]) beschrieben ist, fortgesetzt werden.
; ISO 27001-Zertifizierung auf der Basis von IT-Grundschutz  
* siehe Kapitel 11 der IT-Grund­schutz-Methodik
* In vielen Fällen ist es wünschenswert, den Stellenwert der Informationssicher­heit und die erfolgreiche Umsetzung des IT-Grundschutzes in einer Behörde bzw. einem Unterneh­men transparent zu machen.  
* Hierfür bietet sich eine ISO 27001-Zertifizierung auf der Basis von IT-Grundschutz an.  
* Nach der Konsolidierung des Sicherheitskonzepts kann der Sicherheitsprozess, wie er im BSI-Standard 200-2 IT-Grundschutz-Methodik (siehe [BSI2]) beschrieben ist, fortgesetzt werden.


<noinclude>
<noinclude>
Zeile 40: Zeile 52:
=== Siehe auch ===
=== Siehe auch ===
{{Special:PrefixIndex/{{BASEPAGENAME}}}}
{{Special:PrefixIndex/{{BASEPAGENAME}}}}
==== Dokumentation ====
==== Links ====
==== Links ====
===== Projekt =====
===== Weblinks =====
===== Weblinks =====
 
[[Kategorie:BSI/200-3]]
[[Kategorie:Grundschutz/Standard/200-3]]
</noinclude>
</noinclude>

Aktuelle Version vom 3. Oktober 2024, 09:14 Uhr

Beschreibung

Nach der Konsolidierung des Sicherheitskonzepts
Nächste Schritten

Zweiter Grundschutz-Check

Dies bedeutet insbesondere, dass in einem erneuten Grundschutz-Check

Zweiter Grundschutz-Check

Erforderlich!

  • Da sich in der Regel durch die Risikoanalyse das Sicherheitskonzept geändert hat und der Umsetzungsstatus der neu hinzugekommenen oder geänderten Maßnahmen zu prüfen ist.
Rückführung in den Sicherheitsprozess
  • Nach der Konsolidierung des Sicherheitskonzepts kann der Sicherheitsprozess, wie er im BSI-Standard 200-2 IT-Grundschutz-Methodik beschrieben ist, fortgesetzt werden.

Arbeitsschritte

Ergänztes Sicherheitskonzept als Basis für folgende Arbeitsschritte
IT-Grundschutz-Check
  • siehe Kapitel 8.4 der IT-Grundschutz-Methodik
  • Im Rahmen der Vorar­beiten wurde bereits ein IT-Grundschutz-Check für die laut IT-Grundschutz-Modell zu erfüllenden Sicherheitsanforderungen durchgeführt.
  • Da sich bei der Risikoanalyse in der Regel Änderungen am Sicherheitskonzept ergeben, ist anschließend noch der Umsetzungsstatus der neu hinzugekom­menen oder geänderten Anforderungen zu prüfen.
  • Gegebenenfalls veraltete Ergebnisse sollten auf den neuesten Stand gebracht werden.
Umsetzung der Sicherheitskonzeption
  • Kapitel 9 der IT-Grundschutz-Methodik
  • Die im Sicher­heitskonzept für die einzelnen Zielobjekte vorgesehenen Sicherheitsanforderungen müssen erfüllt werden.
  • Hierfür müssen die daraus abgeleiteten Sicherheitsmaßnahmen in die Praxis umgesetzt werden, damit sie wirksam werden können.
  • Dies umfasst unter anderem eine Kosten- und Auf­wandsschätzung sowie die Festlegung der Umsetzungsreihenfolge.
Überprüfung des Informationssicherheitsprozesses in allen Ebenen
  • siehe Kapitel 10.1 der IT-Grundschutz-Methodik
  • Zur Aufrechterhaltung und kontinuierlichen Verbesserung der Infor­mationssicherheit müssen unter anderem regelmäßig die Erfüllung der Sicherheitsanforderungen und die Eignung der Sicherheitsstrategie überprüft werden.
  • Die Ergebnisse der Überprüfungen fließen in die Fortschreibung des Sicherheitsprozesses ein.
Informationsfluss im Informationssicherheitsprozess
  • siehe Kapitel 5.2 der IT-Grund­schutz-Methodik
  • Um Nachvollziehbarkeit zu erreichen, muss der Sicherheitsprozess auf allen Ebenen dokumentiert sein.
  • Dazu gehören insbesondere auch klare Regelungen für Meldewege und Informationsflüsse.
  • Die Leitungsebene muss von der Sicherheitsorganisation regelmäßig und in angemessener Form über den Stand der Informationssicherheit informiert werden.
ISO 27001-Zertifizierung auf der Basis von IT-Grundschutz
  • siehe Kapitel 11 der IT-Grund­schutz-Methodik
  • In vielen Fällen ist es wünschenswert, den Stellenwert der Informationssicher­heit und die erfolgreiche Umsetzung des IT-Grundschutzes in einer Behörde bzw. einem Unterneh­men transparent zu machen.
  • Hierfür bietet sich eine ISO 27001-Zertifizierung auf der Basis von IT-Grundschutz an.
  • Nach der Konsolidierung des Sicherheitskonzepts kann der Sicherheitsprozess, wie er im BSI-Standard 200-2 IT-Grundschutz-Methodik (siehe [BSI2]) beschrieben ist, fortgesetzt werden.


Anhang

Siehe auch

Links

Weblinks