IT-Grundschutz/Dokumentation: Unterschied zwischen den Versionen

Aus Foxwiki
K Dirkwagner verschob die Seite Grundschutz/Dokumentation nach IT-Grundschutz/Dokumentation: Textersetzung - „^Grundschutz“ durch „IT-Grundschutz“
 
(7 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt)
Zeile 1: Zeile 1:
'''Dokumentation''' im Informationssicherheitsprozess
==== Dokumentation im Informationssicherheitsprozess ====
; Entscheidend für Erfolg
Dokumentation des IS-Prozesses auf allen Ebenen
; Nur durch ausreichende Dokumentation
* werden getroffene Entscheidungen nachvollziehbar
* sind Prozesse wiederholbar und standardisierbar
* können Schwächen und Fehler erkannt und zukünftig vermieden werden
; Abhängig vom Gegenstand und vom Verwendungszweck der Dokumentation
* Technische Dokumentation und Dokumentation von Arbeitsabläufen
* Anleitungen für Mitarbeiter
* Aufzeichnung von Management-Entscheidungen
* Gesetze und Regelungen
; Technische Dokumentation Arbeitsabläufen
; Zielgruppe: Experten
; Aktuellen Stand beschreiben
* Geschäftsprozessen
* damit verbundener IT-Systeme und Anwendungen
; Detaillierungsgrad technischer Dokumentationen
* andere Personen mit vergleichbarer Expertise sollen die Dokumentation nachvollziehen können
* Ein Administrator soll zwar auf sein Wissen, aber nicht auf sein Gedächtnis angewiesen sein, um die Systeme und Anwendungen wiederherzustellen
; Dazu gehörten
* Installations- und Konfigurationsanleitungen
* Anleitungen für den Wiederanlauf nach einem Sicherheitsvorfall
* Dokumentation von Test- und Freigabeverfahren
* Anweisungen für das Verhalten bei Störungen und Sicherheitsvorfällen
; Bei Sicherheitsübungen und bei Behandlung von Sicherheitsvorfällen
* Qualität der vorhandenen Dokumentationen bewerten
* gewonnene Erkenntnisse zur Verbesserung nutzen
; Anleitungen für Mitarbeiter
Zielgruppe: Mitarbeiter
; Sicherheitsmaßnahmen in Form von Richtlinien dokumentieren
* für die Mitarbeiter verständlich
Mitarbeiter müssen informiert und geschult sein
* Existenz und Bedeutung dieser Richtlinien
; Dazu gehört
* Arbeitsabläufe und organisatorische Vorgaben
* Richtlinien zur Nutzung des Internets
* Verhalten bei Sicherheitsvorfällen
; Entscheidungen aufzeichnen
* Informationssicherheitsprozess
* Sicherheitsstrategie
* jederzeit verfügbar
* nachvollziehbar
* wiederholbar
; Gesetze und Regelungen
Zielgruppe: Leitungsebene
; Für Informationsverarbeitung sind viele unterschiedliche relevant
* Gesetze
* Regelungen
* Anweisungen
* Verträge
; Besondere Anforderungen sollten dokumentiert werden
* welche konkreten Konsequenzen ergeben sich daraus
** Geschäftsprozesse
** IT-Betrieb
** Informationssicherheit
; Aktuellen Stand der Dokumentationen sicherstellen
* Dafür muss die Dokumentation in den Änderungsprozess einbezogen werden
; Informationsfluss und Meldewege
Richtlinie zum Informationsfluss und Meldewegen
* dokumentiert grundsätzliche Festlegungen
* zwischen Hol- und Bringschuld unterscheiden
** Kommunikationsplan erstellen
** Wer? Wem? Was? Wann? Bis wann? Form? Feedback bis?
* von der Leitungsebene verabschieden lassen
; Aktualisierung der Meldewege
* Festlegungen für den Informationsfluss
* zeitnahe Aktualisierung von elementarer Bedeutung für die Aufrechterhaltung des Informationssicherheitsprozesses Verbesserung des Informationsflusses
* Ergebnisse aus Übungen, Tests und Audits sind nützliche Grundlage für die Verbesserung des Informationsflusses
; Synergieeffekten für den Informationsfluss
; Oft sind bereits Prozesse für den IT-Support definiert Synergieeffekte nutzen
* Meldewege für IT-Sicherheitsvorfälle können in den IT-Support integriert werden
* die Kapazitätsplanung um Aspekte der Notfallvorsorge erweitert werden.
* Viele Informationen, die aus Sicherheitsgründen erhoben werden, können auch zu anderen Zwecken genutzt werden Sicherheitsmaßnahmen haben positive Nebeneffekte
* besonders Optimierung von Prozessen ist für viele Bereiche relevant
** Bestimmung von Informationseigentümern
** Einstufung von Informationen nach einheitlichen Bewertungskriterien Überblick über die Abhängigkeit
* der Geschäftsprozesse von IT-Systemen und Anwendungen
* ist nicht nur für das Sicherheitsmanagement sinnvoll
* exakte Zuordnung von IT-Kosten, auf einzelne Geschäftsprozesse
; Aktionspunkte Informationsfluss
# Festlegungen zum Informationsfluss und zu den Meldewegen in einer Richtlinie dokumentieren und der Leitungsebene zur Verabschiedung vorlegen
# Leitungsebene über die Ergebnisse von Überprüfungen und den Status des Informationssicherheitsprozesses informieren
# Entscheidungen über erforderliche Korrekturmaßnahmen einholen
# Alle Teilaspekte des gesamten Informationssicherheitsprozesses nachvollziehbar dokumentieren und die Dokumentation auf dem aktuellen Stand halten
# Die Qualität der Dokumentation bewerten und nachbessern oder aktualisieren
# Meldewege auf dem aktuellen Stand halten
# Synergien zwischen dem Informationssicherheitsprozess und anderen Managementprozessen ausfindig machen
=== Siehe auch ===
# [[IT-Grundschutz/Referenzdokumente]]
[[Kategorie:IT-Grundschutz/Dokumentation]]
[[Kategorie:IT-Grundschutz/Dokumentation]]

Aktuelle Version vom 19. November 2024, 13:25 Uhr

Dokumentation im Informationssicherheitsprozess

Dokumentation im Informationssicherheitsprozess

Entscheidend für Erfolg

Dokumentation des IS-Prozesses auf allen Ebenen

Nur durch ausreichende Dokumentation
  • werden getroffene Entscheidungen nachvollziehbar
  • sind Prozesse wiederholbar und standardisierbar
  • können Schwächen und Fehler erkannt und zukünftig vermieden werden
Abhängig vom Gegenstand und vom Verwendungszweck der Dokumentation
  • Technische Dokumentation und Dokumentation von Arbeitsabläufen
  • Anleitungen für Mitarbeiter
  • Aufzeichnung von Management-Entscheidungen
  • Gesetze und Regelungen
Technische Dokumentation Arbeitsabläufen
Zielgruppe
Experten
Aktuellen Stand beschreiben
  • Geschäftsprozessen
  • damit verbundener IT-Systeme und Anwendungen
Detaillierungsgrad technischer Dokumentationen
  • andere Personen mit vergleichbarer Expertise sollen die Dokumentation nachvollziehen können
  • Ein Administrator soll zwar auf sein Wissen, aber nicht auf sein Gedächtnis angewiesen sein, um die Systeme und Anwendungen wiederherzustellen
Dazu gehörten
  • Installations- und Konfigurationsanleitungen
  • Anleitungen für den Wiederanlauf nach einem Sicherheitsvorfall
  • Dokumentation von Test- und Freigabeverfahren
  • Anweisungen für das Verhalten bei Störungen und Sicherheitsvorfällen
Bei Sicherheitsübungen und bei Behandlung von Sicherheitsvorfällen
  • Qualität der vorhandenen Dokumentationen bewerten
  • gewonnene Erkenntnisse zur Verbesserung nutzen
Anleitungen für Mitarbeiter

Zielgruppe: Mitarbeiter

Sicherheitsmaßnahmen in Form von Richtlinien dokumentieren
  • für die Mitarbeiter verständlich

Mitarbeiter müssen informiert und geschult sein

  • Existenz und Bedeutung dieser Richtlinien
Dazu gehört
  • Arbeitsabläufe und organisatorische Vorgaben
  • Richtlinien zur Nutzung des Internets
  • Verhalten bei Sicherheitsvorfällen
Entscheidungen aufzeichnen
  • Informationssicherheitsprozess
  • Sicherheitsstrategie
  • jederzeit verfügbar
  • nachvollziehbar
  • wiederholbar
Gesetze und Regelungen

Zielgruppe: Leitungsebene

Für Informationsverarbeitung sind viele unterschiedliche relevant
  • Gesetze
  • Regelungen
  • Anweisungen
  • Verträge
Besondere Anforderungen sollten dokumentiert werden
  • welche konkreten Konsequenzen ergeben sich daraus
    • Geschäftsprozesse
    • IT-Betrieb
    • Informationssicherheit
Aktuellen Stand der Dokumentationen sicherstellen
  • Dafür muss die Dokumentation in den Änderungsprozess einbezogen werden
Informationsfluss und Meldewege

Richtlinie zum Informationsfluss und Meldewegen

  • dokumentiert grundsätzliche Festlegungen
  • zwischen Hol- und Bringschuld unterscheiden
    • Kommunikationsplan erstellen
    • Wer? Wem? Was? Wann? Bis wann? Form? Feedback bis?
  • von der Leitungsebene verabschieden lassen
Aktualisierung der Meldewege
  • Festlegungen für den Informationsfluss
  • zeitnahe Aktualisierung von elementarer Bedeutung für die Aufrechterhaltung des Informationssicherheitsprozesses Verbesserung des Informationsflusses
  • Ergebnisse aus Übungen, Tests und Audits sind nützliche Grundlage für die Verbesserung des Informationsflusses
Synergieeffekten für den Informationsfluss
Oft sind bereits Prozesse für den IT-Support definiert Synergieeffekte nutzen
  • Meldewege für IT-Sicherheitsvorfälle können in den IT-Support integriert werden
  • die Kapazitätsplanung um Aspekte der Notfallvorsorge erweitert werden.
  • Viele Informationen, die aus Sicherheitsgründen erhoben werden, können auch zu anderen Zwecken genutzt werden Sicherheitsmaßnahmen haben positive Nebeneffekte
  • besonders Optimierung von Prozessen ist für viele Bereiche relevant
    • Bestimmung von Informationseigentümern
    • Einstufung von Informationen nach einheitlichen Bewertungskriterien Überblick über die Abhängigkeit
  • der Geschäftsprozesse von IT-Systemen und Anwendungen
  • ist nicht nur für das Sicherheitsmanagement sinnvoll
  • exakte Zuordnung von IT-Kosten, auf einzelne Geschäftsprozesse
Aktionspunkte Informationsfluss
  1. Festlegungen zum Informationsfluss und zu den Meldewegen in einer Richtlinie dokumentieren und der Leitungsebene zur Verabschiedung vorlegen
  2. Leitungsebene über die Ergebnisse von Überprüfungen und den Status des Informationssicherheitsprozesses informieren
  3. Entscheidungen über erforderliche Korrekturmaßnahmen einholen
  4. Alle Teilaspekte des gesamten Informationssicherheitsprozesses nachvollziehbar dokumentieren und die Dokumentation auf dem aktuellen Stand halten
  5. Die Qualität der Dokumentation bewerten und nachbessern oder aktualisieren
  6. Meldewege auf dem aktuellen Stand halten
  7. Synergien zwischen dem Informationssicherheitsprozess und anderen Managementprozessen ausfindig machen

Siehe auch

  1. IT-Grundschutz/Referenzdokumente