IT-Grundschutz/Referenzdokumente: Unterschied zwischen den Versionen

Aus Foxwiki
K Textersetzung - „[[Grundschutz“ durch „[[IT-Grundschutz“
 
(32 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt)
Zeile 1: Zeile 1:
'''Grundschutz-Referenzdokumente''' - Kurzbeschreibung
'''Grundschutz Referenzdokumente''' - Beschreibung


== Beschreibung ==
== Beschreibung ==
; Übersicht
; Dokumente für ein ''funktionierendes ISMS''
abhängig von
* Größe der Organisation
* Zertifizierung? Welche?
* Umfang und Komplexität der IT Infrastruktur
* Art und Umfang der verarbeiteten Informationen
* Eigenbetrieb oder Outsourcing von Dienstleistungen
* ...
 
== Zertifizierungsanforderungen ==
=== BSI IT-Grundschutz ===
==== Referenzdokumente zur Basisabsicherung ====
Folgende Dokumente müssen zur Beantragung einer Auditierung für ein Testat nach der Basis-Absicherung vorliegen
* [[IT-Grundschutz/Leitlinie|Leitlinie zur Informationssicherheit]]
* [[RiLi-Dokumentenlenkung|Richtlinie zur Lenkung von Dokumenten und Aufzeichnungen]]
* [[RiLi-InterneAuditierung|Richtlinie zur internen ISMS-Auditierung]]
* [[RiLi-KVP|Richtlinie zur Lenkung von Korrektur- und Vorbeugungsmaßnahmen]]
 
==== Referenzdokumente (GS-Zertifizierung) ====
Referenzdokumente zur Zertifizierung (ISO 27001 auf Basis von IT-Grundschutz)
 
=== Übersicht ===
{| class="wikitable sortable options"
{| class="wikitable sortable options"
|-
|-
Zeile 10: Zeile 31:
| A.0 || [[IT-Sicherheitsrichtlinien]]
| A.0 || [[IT-Sicherheitsrichtlinien]]
|-
|-
| A.0.1 || [[Grundschutz/Leitlinie|Leitlinie zur Informationssicherheit]]
| A.0.1 || [[IT-Grundschutz/Leitlinie|Leitlinie zur Informationssicherheit]]
|-
|-
| A.0.2 || [[Richtlinie zur Risikoanalyse]]
| A.0.2 || [[Richtlinie zur Risikoanalyse]]
Zeile 48: Zeile 69:
| A.3 || [[Modellierung]] des Informationsverbund
| A.3 || [[Modellierung]] des Informationsverbund
|-
|-
| A.4 || Ergebnis des [[Basissicherheitschecks]]
| A.4 || Ergebnis des [[IT-Grundschutz-Check]]
|-
| A.5 || [[Risikoanalyse]]
|-
| A.6 || [[Risikobehandlungsplan]]
|-
| || Zusätzliche Dokumente
|}
 
=== ISMS Referenzdokumente ===
Folgende Dokumente müssen zur Beantragung einer Zertifizierung vorliegen
; Leitlinie
* [[Informationssicherheitsleitlinie|Leitlinie zur Informationssicherheit]]
 
; Richtlinien
* [[RiLi-Dokumentenlenkung|Richtlinie zur Lenkung von Dokumenten und Aufzeichnungen]]
* [[RiLi-InterneAuditierung|Richtlinie zur internen ISMS-Auditierung]]
* [[RiLi-KVP|Richtlinie zur Lenkung von Korrektur- und Vorbeugungsmaßnahmen]]
* [[RiLi-Risikoanalyse|Richtlinie zur Risikoanalyse]]
 
==== Weitere Dokumente ====
Die oben genannten Dokumente werden bereits bei der Antragstellung benötigt.
* Ohne diese Dokumente kann keine Testierung/Zertifizierung beantragt werden.
* Im Zuge des Audits werden weitere Dokumente geprüft!
 
Im Gegensatz zu den oben genannten Dokumenten, die in der Regel klassisch in Papierform oder als PDF mit Unterschrift der Organisationsleitung vorliegen, sind Umfang und Form aller weiteren Dokumentationen weitgehend der Organisation überlassen, je nach Größe und interner Organisationsform.
* Entscheidend ist, dass die Aktualität und die tatsächliche Inkraftsetzung der Regelungen in irgendeiner Form erkennbar sind.
* Die Mitarbeitenden müssen wissen, welche Regelungen sie wo finden, und sie müssen ungehinderten Zugang zu den für sie relevanten Regelungen haben.
 
; Weitere Regelungen und Dokumentationen
Weitere Regelungen und Dokumentationen sind unter anderem zu folgenden Themen erforderlich
{| class="wikitable options"
|-
! Option !! Beschreibung
|-
| Schulung und Sensibilisierung ||
|-
| Passwort- und Berechtigungsmanagement ||
|-
| Test und Freigabe ||
|-
| Überwachung und Protokollierung ||
|-
| Schadsoftware ||
|-
| Schwachstellen-Management ||
|-
| Ausnahmemanagement ||
|-
| Notfallmanagement (BCM) ||
|-
| Gebäude und Räume ||
|-
| Netzwerk-Management ||
|-
| Server-Management ||
|-
| Client-Verwaltung ||
|-
| Kryptographie ||
|-
| Betriebsdokumentation und Checklisten ||
|-
| ggf. Cloud-Nutzung ||
|-
| ggf. Outsourcing ||
|-
| uvm. ||
|}
 
=== Referenzdokumente ISO 27001 ===
; Referenzdokumente für eine [[ISO 27001]] nativ Zertifizierung
{| class="wikitable sortable options"
|-
! Option !! Beschreibung
|-
| Anwendungsbereich von ISMS || A 4.3
|-
| Leitlinie Informationssicherheit || A 5.2, A 6.2
|-
| Risikobewertungs- und Risikobehandlungsmethodik || A 6.1.2
|-
| Anwendbarkeitserklärung || A 6.1.3 d
|-
| Risikobehandlungsplan || A 6.1.3 e, A 6.2
|-
| Definition der Sicherheitsrollen und Verantwortlichkeiten || A 7.1.2, A 13.2.4
|-
| Aufzeichnungen über Schulungen, Fähigkeiten, Erfahrung und Qualifikationen || A 7.2
|-
| Sicherheitsrollen und Verantwortlichkeiten || A 7.2.1
|-
| Verzeichnis der Assets || A 8.1.1
|-
| Regelung zur Nutzung von Assets || A 8.1.3
|-
| Risikobewertungsbericht || A 8.2
|-
| Überwachungs- und Messergebnisse || A 9.1
|-
| Richtlinie für Zugriffskontrolle || A 9.1.1
|-
| internes Audit-Programm und Ergebnisaufzeichnungen || A 9.2
|-
| Ergebnisse aus Managementbewertungen || A 9.3
|-
| Ergebnisse von Korrekturmaßnahmen || A 10.1
|-
| Richtlinie für die Verwendung von kryptographischen Algorithmen || A 10.1.1
|-
| Betriebsprozesse für das IT-Management || A 12.1.1
|-
| Aktivitätsprotokolle und deren regelmäßig Auswertung || A 12.4.1, A 12.4.3
|-
| Prinzipien des sicheren Systembetriebs || A 14.2.5
|-
|-
| A.5 || [[Ergänzende Sicherheitsanalyse]]
| Sicherheitsrichtlinie für Lieferanten || A 15.1.1
|-
|-
| A.6 || [[Risikoanalyse]]
| Sicherheitsvorfall Management || A 16.1.5
|-
|-
| A.7 || [[Risikobehandlungsplan]]
| Verfahren für betriebliche Kontinuität (BCM)|| A 17.1.2
|-
|-
| || Zusätzliche Dokumentation
| Gesetzliche, behördliche und vertragliche Anforderungen || A 18.1.1
|}
|}


Zeile 68: Zeile 203:
==== Dokumentation ====
==== Dokumentation ====
# [https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Zertifikat/ISO27001/Hinweise_Referenzdokumente_Kompendium.pdf Hinweise_Referenzdokumente_Kompendium.pdf]
# [https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Zertifikat/ISO27001/Hinweise_Referenzdokumente_Kompendium.pdf Hinweise_Referenzdokumente_Kompendium.pdf]
# [https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Zertifikat/ISO27001/Muster_Referenzliste_UEA_pdf.pdf
# [https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Zertifikat/ISO27001/Muster_Referenzliste_UEA_pdf.pdf Muster_Referenzliste_UEA_pdf.pdf]
Muster_Referenzliste_UEA_pdf.pdf]


==== Links ====
==== Links ====
===== Weblinks =====
===== Weblinks =====
# https://wiki.isms-ratgeber.info/wiki/Referenzdokumente


[[Kategorie:Grundschutz/Audit]]
[[Kategorie:IT-Grundschutz/Audit]]
[[Kategorie:Grundschutz/Zertifizierung]]
[[Kategorie:IT-Grundschutz/Zertifizierung]]
[[Kategorie:Grundschutz/Dokumentation]]
[[Kategorie:IT-Grundschutz/Dokumentation]]
[[Kategorie:Informationssicherheit/Richtlinien]]
[[Kategorie:ISMS/Richtlinien]]
</noinclude>
</noinclude>

Aktuelle Version vom 31. Oktober 2024, 13:37 Uhr

Grundschutz Referenzdokumente - Beschreibung

Beschreibung

Dokumente für ein funktionierendes ISMS

abhängig von

  • Größe der Organisation
  • Zertifizierung? Welche?
  • Umfang und Komplexität der IT Infrastruktur
  • Art und Umfang der verarbeiteten Informationen
  • Eigenbetrieb oder Outsourcing von Dienstleistungen
  • ...

Zertifizierungsanforderungen

BSI IT-Grundschutz

Referenzdokumente zur Basisabsicherung

Folgende Dokumente müssen zur Beantragung einer Auditierung für ein Testat nach der Basis-Absicherung vorliegen

Referenzdokumente (GS-Zertifizierung)

Referenzdokumente zur Zertifizierung (ISO 27001 auf Basis von IT-Grundschutz)

Übersicht

Nummer Dokument
A.0 IT-Sicherheitsrichtlinien
A.0.1 Leitlinie zur Informationssicherheit
A.0.2 Richtlinie zur Risikoanalyse
A.0.3 Richtlinie zur Lenkung von Dokumenten und Aufzeichnungen
A.0.4 Richtlinie zur internen ISMS-Auditierung
A.0.5 Richtlinie zur Lenkung von Korrektur-und Vorbeugungsmaßnahmen
A.1 IT-Strukturanalyse
A.1.1 Abgrenzung des IT-Verbunds
A.1.2 Bereinigter Netzplan
A.1.3 Liste der IT-Systeme
A.1.4 Liste der IT-Anwendungen und Geschäftsprozesse
A.1.5 Liste der Kommunikationsverbindungen
A.1.6 Liste der Gebäude und Räume
A.2 Schutzbedarfsfeststellung
A.2.1 Definition der Schutzbedarfskategorien
A.2.2 Schutzbedarf der IT-Anwendungen
A.2.3 Schutzbedarf der IT-Systemen
A.2.4 Schutzbedarf der Kommunikationsverbindungen
A.2.5 Schutzbedarf der Gebäude und Räume
A.3 Modellierung des Informationsverbund
A.4 Ergebnis des IT-Grundschutz-Check
A.5 Risikoanalyse
A.6 Risikobehandlungsplan
Zusätzliche Dokumente

ISMS Referenzdokumente

Folgende Dokumente müssen zur Beantragung einer Zertifizierung vorliegen

Leitlinie
Richtlinien

Weitere Dokumente

Die oben genannten Dokumente werden bereits bei der Antragstellung benötigt.

  • Ohne diese Dokumente kann keine Testierung/Zertifizierung beantragt werden.
  • Im Zuge des Audits werden weitere Dokumente geprüft!

Im Gegensatz zu den oben genannten Dokumenten, die in der Regel klassisch in Papierform oder als PDF mit Unterschrift der Organisationsleitung vorliegen, sind Umfang und Form aller weiteren Dokumentationen weitgehend der Organisation überlassen, je nach Größe und interner Organisationsform.

  • Entscheidend ist, dass die Aktualität und die tatsächliche Inkraftsetzung der Regelungen in irgendeiner Form erkennbar sind.
  • Die Mitarbeitenden müssen wissen, welche Regelungen sie wo finden, und sie müssen ungehinderten Zugang zu den für sie relevanten Regelungen haben.
Weitere Regelungen und Dokumentationen

Weitere Regelungen und Dokumentationen sind unter anderem zu folgenden Themen erforderlich

Option Beschreibung
Schulung und Sensibilisierung
Passwort- und Berechtigungsmanagement
Test und Freigabe
Überwachung und Protokollierung
Schadsoftware
Schwachstellen-Management
Ausnahmemanagement
Notfallmanagement (BCM)
Gebäude und Räume
Netzwerk-Management
Server-Management
Client-Verwaltung
Kryptographie
Betriebsdokumentation und Checklisten
ggf. Cloud-Nutzung
ggf. Outsourcing
uvm.

Referenzdokumente ISO 27001

Referenzdokumente für eine ISO 27001 nativ Zertifizierung
Option Beschreibung
Anwendungsbereich von ISMS A 4.3
Leitlinie Informationssicherheit A 5.2, A 6.2
Risikobewertungs- und Risikobehandlungsmethodik A 6.1.2
Anwendbarkeitserklärung A 6.1.3 d
Risikobehandlungsplan A 6.1.3 e, A 6.2
Definition der Sicherheitsrollen und Verantwortlichkeiten A 7.1.2, A 13.2.4
Aufzeichnungen über Schulungen, Fähigkeiten, Erfahrung und Qualifikationen A 7.2
Sicherheitsrollen und Verantwortlichkeiten A 7.2.1
Verzeichnis der Assets A 8.1.1
Regelung zur Nutzung von Assets A 8.1.3
Risikobewertungsbericht A 8.2
Überwachungs- und Messergebnisse A 9.1
Richtlinie für Zugriffskontrolle A 9.1.1
internes Audit-Programm und Ergebnisaufzeichnungen A 9.2
Ergebnisse aus Managementbewertungen A 9.3
Ergebnisse von Korrekturmaßnahmen A 10.1
Richtlinie für die Verwendung von kryptographischen Algorithmen A 10.1.1
Betriebsprozesse für das IT-Management A 12.1.1
Aktivitätsprotokolle und deren regelmäßig Auswertung A 12.4.1, A 12.4.3
Prinzipien des sicheren Systembetriebs A 14.2.5
Sicherheitsrichtlinie für Lieferanten A 15.1.1
Sicherheitsvorfall Management A 16.1.5
Verfahren für betriebliche Kontinuität (BCM) A 17.1.2
Gesetzliche, behördliche und vertragliche Anforderungen A 18.1.1


Anhang

Siehe auch

Dokumentation

  1. Hinweise_Referenzdokumente_Kompendium.pdf
  2. Muster_Referenzliste_UEA_pdf.pdf

Links

Weblinks
  1. https://wiki.isms-ratgeber.info/wiki/Referenzdokumente