IT-Grundschutz/Dokumentation: Unterschied zwischen den Versionen
K Dirkwagner verschob die Seite Grundschutz/Dokumentation nach IT-Grundschutz/Dokumentation: Textersetzung - „^Grundschutz“ durch „IT-Grundschutz“ |
|||
(7 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt) | |||
Zeile 1: | Zeile 1: | ||
'''Dokumentation''' im Informationssicherheitsprozess | |||
==== Dokumentation im Informationssicherheitsprozess ==== | |||
; Entscheidend für Erfolg | |||
Dokumentation des IS-Prozesses auf allen Ebenen | |||
; Nur durch ausreichende Dokumentation | |||
* werden getroffene Entscheidungen nachvollziehbar | |||
* sind Prozesse wiederholbar und standardisierbar | |||
* können Schwächen und Fehler erkannt und zukünftig vermieden werden | |||
; Abhängig vom Gegenstand und vom Verwendungszweck der Dokumentation | |||
* Technische Dokumentation und Dokumentation von Arbeitsabläufen | |||
* Anleitungen für Mitarbeiter | |||
* Aufzeichnung von Management-Entscheidungen | |||
* Gesetze und Regelungen | |||
; Technische Dokumentation Arbeitsabläufen | |||
; Zielgruppe: Experten | |||
; Aktuellen Stand beschreiben | |||
* Geschäftsprozessen | |||
* damit verbundener IT-Systeme und Anwendungen | |||
; Detaillierungsgrad technischer Dokumentationen | |||
* andere Personen mit vergleichbarer Expertise sollen die Dokumentation nachvollziehen können | |||
* Ein Administrator soll zwar auf sein Wissen, aber nicht auf sein Gedächtnis angewiesen sein, um die Systeme und Anwendungen wiederherzustellen | |||
; Dazu gehörten | |||
* Installations- und Konfigurationsanleitungen | |||
* Anleitungen für den Wiederanlauf nach einem Sicherheitsvorfall | |||
* Dokumentation von Test- und Freigabeverfahren | |||
* Anweisungen für das Verhalten bei Störungen und Sicherheitsvorfällen | |||
; Bei Sicherheitsübungen und bei Behandlung von Sicherheitsvorfällen | |||
* Qualität der vorhandenen Dokumentationen bewerten | |||
* gewonnene Erkenntnisse zur Verbesserung nutzen | |||
; Anleitungen für Mitarbeiter | |||
Zielgruppe: Mitarbeiter | |||
; Sicherheitsmaßnahmen in Form von Richtlinien dokumentieren | |||
* für die Mitarbeiter verständlich | |||
Mitarbeiter müssen informiert und geschult sein | |||
* Existenz und Bedeutung dieser Richtlinien | |||
; Dazu gehört | |||
* Arbeitsabläufe und organisatorische Vorgaben | |||
* Richtlinien zur Nutzung des Internets | |||
* Verhalten bei Sicherheitsvorfällen | |||
; Entscheidungen aufzeichnen | |||
* Informationssicherheitsprozess | |||
* Sicherheitsstrategie | |||
* jederzeit verfügbar | |||
* nachvollziehbar | |||
* wiederholbar | |||
; Gesetze und Regelungen | |||
Zielgruppe: Leitungsebene | |||
; Für Informationsverarbeitung sind viele unterschiedliche relevant | |||
* Gesetze | |||
* Regelungen | |||
* Anweisungen | |||
* Verträge | |||
; Besondere Anforderungen sollten dokumentiert werden | |||
* welche konkreten Konsequenzen ergeben sich daraus | |||
** Geschäftsprozesse | |||
** IT-Betrieb | |||
** Informationssicherheit | |||
; Aktuellen Stand der Dokumentationen sicherstellen | |||
* Dafür muss die Dokumentation in den Änderungsprozess einbezogen werden | |||
; Informationsfluss und Meldewege | |||
Richtlinie zum Informationsfluss und Meldewegen | |||
* dokumentiert grundsätzliche Festlegungen | |||
* zwischen Hol- und Bringschuld unterscheiden | |||
** Kommunikationsplan erstellen | |||
** Wer? Wem? Was? Wann? Bis wann? Form? Feedback bis? | |||
* von der Leitungsebene verabschieden lassen | |||
; Aktualisierung der Meldewege | |||
* Festlegungen für den Informationsfluss | |||
* zeitnahe Aktualisierung von elementarer Bedeutung für die Aufrechterhaltung des Informationssicherheitsprozesses Verbesserung des Informationsflusses | |||
* Ergebnisse aus Übungen, Tests und Audits sind nützliche Grundlage für die Verbesserung des Informationsflusses | |||
; Synergieeffekten für den Informationsfluss | |||
; Oft sind bereits Prozesse für den IT-Support definiert Synergieeffekte nutzen | |||
* Meldewege für IT-Sicherheitsvorfälle können in den IT-Support integriert werden | |||
* die Kapazitätsplanung um Aspekte der Notfallvorsorge erweitert werden. | |||
* Viele Informationen, die aus Sicherheitsgründen erhoben werden, können auch zu anderen Zwecken genutzt werden Sicherheitsmaßnahmen haben positive Nebeneffekte | |||
* besonders Optimierung von Prozessen ist für viele Bereiche relevant | |||
** Bestimmung von Informationseigentümern | |||
** Einstufung von Informationen nach einheitlichen Bewertungskriterien Überblick über die Abhängigkeit | |||
* der Geschäftsprozesse von IT-Systemen und Anwendungen | |||
* ist nicht nur für das Sicherheitsmanagement sinnvoll | |||
* exakte Zuordnung von IT-Kosten, auf einzelne Geschäftsprozesse | |||
; Aktionspunkte Informationsfluss | |||
# Festlegungen zum Informationsfluss und zu den Meldewegen in einer Richtlinie dokumentieren und der Leitungsebene zur Verabschiedung vorlegen | |||
# Leitungsebene über die Ergebnisse von Überprüfungen und den Status des Informationssicherheitsprozesses informieren | |||
# Entscheidungen über erforderliche Korrekturmaßnahmen einholen | |||
# Alle Teilaspekte des gesamten Informationssicherheitsprozesses nachvollziehbar dokumentieren und die Dokumentation auf dem aktuellen Stand halten | |||
# Die Qualität der Dokumentation bewerten und nachbessern oder aktualisieren | |||
# Meldewege auf dem aktuellen Stand halten | |||
# Synergien zwischen dem Informationssicherheitsprozess und anderen Managementprozessen ausfindig machen | |||
=== Siehe auch === | |||
# [[IT-Grundschutz/Referenzdokumente]] | |||
[[Kategorie:IT-Grundschutz/Dokumentation]] | [[Kategorie:IT-Grundschutz/Dokumentation]] |
Aktuelle Version vom 19. November 2024, 13:25 Uhr
Dokumentation im Informationssicherheitsprozess
Dokumentation im Informationssicherheitsprozess
- Entscheidend für Erfolg
Dokumentation des IS-Prozesses auf allen Ebenen
- Nur durch ausreichende Dokumentation
- werden getroffene Entscheidungen nachvollziehbar
- sind Prozesse wiederholbar und standardisierbar
- können Schwächen und Fehler erkannt und zukünftig vermieden werden
- Abhängig vom Gegenstand und vom Verwendungszweck der Dokumentation
- Technische Dokumentation und Dokumentation von Arbeitsabläufen
- Anleitungen für Mitarbeiter
- Aufzeichnung von Management-Entscheidungen
- Gesetze und Regelungen
- Technische Dokumentation Arbeitsabläufen
- Zielgruppe
- Experten
- Aktuellen Stand beschreiben
- Geschäftsprozessen
- damit verbundener IT-Systeme und Anwendungen
- Detaillierungsgrad technischer Dokumentationen
- andere Personen mit vergleichbarer Expertise sollen die Dokumentation nachvollziehen können
- Ein Administrator soll zwar auf sein Wissen, aber nicht auf sein Gedächtnis angewiesen sein, um die Systeme und Anwendungen wiederherzustellen
- Dazu gehörten
- Installations- und Konfigurationsanleitungen
- Anleitungen für den Wiederanlauf nach einem Sicherheitsvorfall
- Dokumentation von Test- und Freigabeverfahren
- Anweisungen für das Verhalten bei Störungen und Sicherheitsvorfällen
- Bei Sicherheitsübungen und bei Behandlung von Sicherheitsvorfällen
- Qualität der vorhandenen Dokumentationen bewerten
- gewonnene Erkenntnisse zur Verbesserung nutzen
- Anleitungen für Mitarbeiter
Zielgruppe: Mitarbeiter
- Sicherheitsmaßnahmen in Form von Richtlinien dokumentieren
- für die Mitarbeiter verständlich
Mitarbeiter müssen informiert und geschult sein
- Existenz und Bedeutung dieser Richtlinien
- Dazu gehört
- Arbeitsabläufe und organisatorische Vorgaben
- Richtlinien zur Nutzung des Internets
- Verhalten bei Sicherheitsvorfällen
- Entscheidungen aufzeichnen
- Informationssicherheitsprozess
- Sicherheitsstrategie
- jederzeit verfügbar
- nachvollziehbar
- wiederholbar
- Gesetze und Regelungen
Zielgruppe: Leitungsebene
- Für Informationsverarbeitung sind viele unterschiedliche relevant
- Gesetze
- Regelungen
- Anweisungen
- Verträge
- Besondere Anforderungen sollten dokumentiert werden
- welche konkreten Konsequenzen ergeben sich daraus
- Geschäftsprozesse
- IT-Betrieb
- Informationssicherheit
- Aktuellen Stand der Dokumentationen sicherstellen
- Dafür muss die Dokumentation in den Änderungsprozess einbezogen werden
- Informationsfluss und Meldewege
Richtlinie zum Informationsfluss und Meldewegen
- dokumentiert grundsätzliche Festlegungen
- zwischen Hol- und Bringschuld unterscheiden
- Kommunikationsplan erstellen
- Wer? Wem? Was? Wann? Bis wann? Form? Feedback bis?
- von der Leitungsebene verabschieden lassen
- Aktualisierung der Meldewege
- Festlegungen für den Informationsfluss
- zeitnahe Aktualisierung von elementarer Bedeutung für die Aufrechterhaltung des Informationssicherheitsprozesses Verbesserung des Informationsflusses
- Ergebnisse aus Übungen, Tests und Audits sind nützliche Grundlage für die Verbesserung des Informationsflusses
- Synergieeffekten für den Informationsfluss
- Oft sind bereits Prozesse für den IT-Support definiert Synergieeffekte nutzen
- Meldewege für IT-Sicherheitsvorfälle können in den IT-Support integriert werden
- die Kapazitätsplanung um Aspekte der Notfallvorsorge erweitert werden.
- Viele Informationen, die aus Sicherheitsgründen erhoben werden, können auch zu anderen Zwecken genutzt werden Sicherheitsmaßnahmen haben positive Nebeneffekte
- besonders Optimierung von Prozessen ist für viele Bereiche relevant
- Bestimmung von Informationseigentümern
- Einstufung von Informationen nach einheitlichen Bewertungskriterien Überblick über die Abhängigkeit
- der Geschäftsprozesse von IT-Systemen und Anwendungen
- ist nicht nur für das Sicherheitsmanagement sinnvoll
- exakte Zuordnung von IT-Kosten, auf einzelne Geschäftsprozesse
- Aktionspunkte Informationsfluss
- Festlegungen zum Informationsfluss und zu den Meldewegen in einer Richtlinie dokumentieren und der Leitungsebene zur Verabschiedung vorlegen
- Leitungsebene über die Ergebnisse von Überprüfungen und den Status des Informationssicherheitsprozesses informieren
- Entscheidungen über erforderliche Korrekturmaßnahmen einholen
- Alle Teilaspekte des gesamten Informationssicherheitsprozesses nachvollziehbar dokumentieren und die Dokumentation auf dem aktuellen Stand halten
- Die Qualität der Dokumentation bewerten und nachbessern oder aktualisieren
- Meldewege auf dem aktuellen Stand halten
- Synergien zwischen dem Informationssicherheitsprozess und anderen Managementprozessen ausfindig machen