BSI/200-3/Rückführung: Unterschied zwischen den Versionen
K Textersetzung - „BSI//“ durch „BSI/“ |
|||
(20 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt) | |||
Zeile 1: | Zeile 1: | ||
=== Beschreibung === | === Beschreibung === | ||
; Nach der Konsolidierung des Sicherheitskonzepts | ; Nach der Konsolidierung des Sicherheitskonzepts | ||
; Nächste Schritten | |||
Zweiter Grundschutz-Check | |||
Dies bedeutet insbesondere, dass in einem '''erneuten Grundschutz-Check''' | |||
* Umsetzungsstatus der neu hinzugekommenen oder geänderten Maßnahmen | |||
* prüfen und dokumentieren | |||
*: https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/Grundschutz/Zertifizierte-Informationssicherheit/IT-Grundschutzschulung/Online-Kurs-Grundschutz/Lektion_6_IT-Grundschutz-Check/Lektion_6_node.html | |||
; Zweiter Grundschutz-Check | ; Zweiter Grundschutz-Check | ||
Erforderlich | Erforderlich! | ||
* Da sich in der Regel durch die Risikoanalyse das Sicherheitskonzept geändert hat und der Umsetzungsstatus der neu hinzugekommenen oder geänderten Maßnahmen zu prüfen ist. | * Da sich in der Regel durch die Risikoanalyse das Sicherheitskonzept geändert hat und der Umsetzungsstatus der neu hinzugekommenen oder geänderten Maßnahmen zu prüfen ist. | ||
; Rückführung in den Sicherheitsprozess | ; Rückführung in den Sicherheitsprozess | ||
Nach der Konsolidierung des Sicherheitskonzepts kann der Sicherheitsprozess, wie er im BSI-Standard 200-2 IT-Grundschutz-Methodik beschrieben ist, fortgesetzt werden. | * Nach der Konsolidierung des Sicherheitskonzepts kann der Sicherheitsprozess, wie er im BSI-Standard 200-2 IT-Grundschutz-Methodik beschrieben ist, fortgesetzt werden. | ||
=== | === Arbeitsschritte === | ||
; Ergänztes Sicherheitskonzept als Basis für folgende Arbeitsschritte | ; Ergänztes Sicherheitskonzept als Basis für folgende Arbeitsschritte | ||
; IT-Grundschutz-Check | |||
* siehe Kapitel 8.4 der IT-Grundschutz-Methodik | |||
* Im Rahmen der Vorarbeiten wurde bereits ein IT-Grundschutz-Check für die laut IT-Grundschutz-Modell zu erfüllenden Sicherheitsanforderungen durchgeführt. | |||
* Da sich bei der Risikoanalyse in der Regel Änderungen am Sicherheitskonzept ergeben, ist anschließend noch der Umsetzungsstatus der neu hinzugekommenen oder geänderten Anforderungen zu prüfen. | |||
* Gegebenenfalls veraltete Ergebnisse sollten auf den neuesten Stand gebracht werden. | |||
; Umsetzung der Sicherheitskonzeption | |||
* Kapitel 9 der IT-Grundschutz-Methodik | |||
* Die im Sicherheitskonzept für die einzelnen Zielobjekte vorgesehenen Sicherheitsanforderungen müssen erfüllt werden. | |||
* Hierfür müssen die daraus abgeleiteten Sicherheitsmaßnahmen in die Praxis umgesetzt werden, damit sie wirksam werden können. | |||
* Dies umfasst unter anderem eine Kosten- und Aufwandsschätzung sowie die Festlegung der Umsetzungsreihenfolge. | |||
; Überprüfung des Informationssicherheitsprozesses in allen Ebenen | |||
* siehe Kapitel 10.1 der IT-Grundschutz-Methodik | |||
* Zur Aufrechterhaltung und kontinuierlichen Verbesserung der Informationssicherheit müssen unter anderem regelmäßig die Erfüllung der Sicherheitsanforderungen und die Eignung der Sicherheitsstrategie überprüft werden. | |||
* Die Ergebnisse der Überprüfungen fließen in die Fortschreibung des Sicherheitsprozesses ein. | |||
; Informationsfluss im Informationssicherheitsprozess | |||
* siehe Kapitel 5.2 der IT-Grundschutz-Methodik | |||
* Um Nachvollziehbarkeit zu erreichen, muss der Sicherheitsprozess auf allen Ebenen dokumentiert sein. | |||
* Dazu gehören insbesondere auch klare Regelungen für Meldewege und Informationsflüsse. | |||
* Die Leitungsebene muss von der Sicherheitsorganisation regelmäßig und in angemessener Form über den Stand der Informationssicherheit informiert werden. | |||
; ISO 27001-Zertifizierung auf der Basis von IT-Grundschutz | |||
* siehe Kapitel 11 der IT-Grundschutz-Methodik | |||
* In vielen Fällen ist es wünschenswert, den Stellenwert der Informationssicherheit und die erfolgreiche Umsetzung des IT-Grundschutzes in einer Behörde bzw. einem Unternehmen transparent zu machen. | |||
* Hierfür bietet sich eine ISO 27001-Zertifizierung auf der Basis von IT-Grundschutz an. | |||
* Nach der Konsolidierung des Sicherheitskonzepts kann der Sicherheitsprozess, wie er im BSI-Standard 200-2 IT-Grundschutz-Methodik (siehe [BSI2]) beschrieben ist, fortgesetzt werden. | |||
<noinclude> | <noinclude> | ||
Zeile 42: | Zeile 52: | ||
=== Siehe auch === | === Siehe auch === | ||
{{Special:PrefixIndex/{{BASEPAGENAME}}}} | {{Special:PrefixIndex/{{BASEPAGENAME}}}} | ||
==== Links ==== | ==== Links ==== | ||
===== Weblinks ===== | ===== Weblinks ===== | ||
[[Kategorie:BSI/200-3]] | |||
[[Kategorie: | |||
</noinclude> | </noinclude> |
Aktuelle Version vom 3. Oktober 2024, 09:14 Uhr
Beschreibung
- Nach der Konsolidierung des Sicherheitskonzepts
- Nächste Schritten
Zweiter Grundschutz-Check
Dies bedeutet insbesondere, dass in einem erneuten Grundschutz-Check
- Umsetzungsstatus der neu hinzugekommenen oder geänderten Maßnahmen
- prüfen und dokumentieren
- Zweiter Grundschutz-Check
Erforderlich!
- Da sich in der Regel durch die Risikoanalyse das Sicherheitskonzept geändert hat und der Umsetzungsstatus der neu hinzugekommenen oder geänderten Maßnahmen zu prüfen ist.
- Rückführung in den Sicherheitsprozess
- Nach der Konsolidierung des Sicherheitskonzepts kann der Sicherheitsprozess, wie er im BSI-Standard 200-2 IT-Grundschutz-Methodik beschrieben ist, fortgesetzt werden.
Arbeitsschritte
- Ergänztes Sicherheitskonzept als Basis für folgende Arbeitsschritte
- IT-Grundschutz-Check
- siehe Kapitel 8.4 der IT-Grundschutz-Methodik
- Im Rahmen der Vorarbeiten wurde bereits ein IT-Grundschutz-Check für die laut IT-Grundschutz-Modell zu erfüllenden Sicherheitsanforderungen durchgeführt.
- Da sich bei der Risikoanalyse in der Regel Änderungen am Sicherheitskonzept ergeben, ist anschließend noch der Umsetzungsstatus der neu hinzugekommenen oder geänderten Anforderungen zu prüfen.
- Gegebenenfalls veraltete Ergebnisse sollten auf den neuesten Stand gebracht werden.
- Umsetzung der Sicherheitskonzeption
- Kapitel 9 der IT-Grundschutz-Methodik
- Die im Sicherheitskonzept für die einzelnen Zielobjekte vorgesehenen Sicherheitsanforderungen müssen erfüllt werden.
- Hierfür müssen die daraus abgeleiteten Sicherheitsmaßnahmen in die Praxis umgesetzt werden, damit sie wirksam werden können.
- Dies umfasst unter anderem eine Kosten- und Aufwandsschätzung sowie die Festlegung der Umsetzungsreihenfolge.
- Überprüfung des Informationssicherheitsprozesses in allen Ebenen
- siehe Kapitel 10.1 der IT-Grundschutz-Methodik
- Zur Aufrechterhaltung und kontinuierlichen Verbesserung der Informationssicherheit müssen unter anderem regelmäßig die Erfüllung der Sicherheitsanforderungen und die Eignung der Sicherheitsstrategie überprüft werden.
- Die Ergebnisse der Überprüfungen fließen in die Fortschreibung des Sicherheitsprozesses ein.
- Informationsfluss im Informationssicherheitsprozess
- siehe Kapitel 5.2 der IT-Grundschutz-Methodik
- Um Nachvollziehbarkeit zu erreichen, muss der Sicherheitsprozess auf allen Ebenen dokumentiert sein.
- Dazu gehören insbesondere auch klare Regelungen für Meldewege und Informationsflüsse.
- Die Leitungsebene muss von der Sicherheitsorganisation regelmäßig und in angemessener Form über den Stand der Informationssicherheit informiert werden.
- ISO 27001-Zertifizierung auf der Basis von IT-Grundschutz
- siehe Kapitel 11 der IT-Grundschutz-Methodik
- In vielen Fällen ist es wünschenswert, den Stellenwert der Informationssicherheit und die erfolgreiche Umsetzung des IT-Grundschutzes in einer Behörde bzw. einem Unternehmen transparent zu machen.
- Hierfür bietet sich eine ISO 27001-Zertifizierung auf der Basis von IT-Grundschutz an.
- Nach der Konsolidierung des Sicherheitskonzepts kann der Sicherheitsprozess, wie er im BSI-Standard 200-2 IT-Grundschutz-Methodik (siehe [BSI2]) beschrieben ist, fortgesetzt werden.