BSI/200-3/Rückführung: Unterschied zwischen den Versionen
K Dirkwagner verschob die Seite BSI/Standard/200-3/Rückführung nach IT-Grundschutz/Standard/200-3/Rückführung, ohne dabei eine Weiterleitung anzulegen: Textersetzung - „BSI/Standard“ durch „IT-Grundschutz/Standard“ |
Keine Bearbeitungszusammenfassung |
||
Zeile 28: | Zeile 28: | ||
** Nach der Konsolidierung des Sicherheitskonzepts kann der Sicherheitsprozess, wie er im BSI-Standard 200-2 IT-Grundschutz-Methodik (siehe [BSI2]) beschrieben ist, fortgesetzt werden. | ** Nach der Konsolidierung des Sicherheitskonzepts kann der Sicherheitsprozess, wie er im BSI-Standard 200-2 IT-Grundschutz-Methodik (siehe [BSI2]) beschrieben ist, fortgesetzt werden. | ||
[[ | [[IT-Grundschutz/Standard/200-3]] |
Version vom 4. Mai 2023, 10:56 Uhr
- Rückführung in den Sicherheitsprozess
Nach der Konsolidierung des Sicherheitskonzepts kann der Sicherheitsprozess, wie er im BSI-Standard 200-2 IT-Grundschutz-Methodik (siehe [BSI2]) beschrieben ist, fortgesetzt werden.
- Ergänztes Sicherheitskonzept als Basis für folgende Arbeitsschritte
- IT-Grundschutz-Check
- siehe Kapitel 8.4 der IT-Grundschutz-Methodik
- Im Rahmen der Vorarbeiten wurde bereits ein IT-Grundschutz-Check für die laut IT-Grundschutz-Modell zu erfüllenden Sicherheitsanforderungen durchgeführt.
- Da sich bei der Risikoanalyse in der Regel Änderungen am Sicherheitskonzept ergeben, ist anschließend noch der Umsetzungsstatus der neu hinzugekommenen oder geänderten Anforderungen zu prüfen.
- Gegebenenfalls veraltete Ergebnisse sollten auf den neuesten Stand gebracht werden.
- Umsetzung der Sicherheitskonzeption
- Kapitel 9 der IT-Grundschutz-Methodik
- Die im Sicherheitskonzept für die einzelnen Zielobjekte vorgesehenen Sicherheitsanforderungen müssen erfüllt werden.
- Hierfür müssen die daraus abgeleiteten Sicherheitsmaßnahmen in die Praxis umgesetzt werden, damit sie wirksam werden können.
- Dies umfasst unter anderem eine Kosten- und Aufwandsschätzung sowie die Festlegung der Umsetzungsreihenfolge.
- Überprüfung des Informationssicherheitsprozesses in allen Ebenen
- siehe Kapitel 10.1 der IT-Grundschutz-Methodik
- Zur Aufrechterhaltung und kontinuierlichen Verbesserung der Informationssicherheit müssen unter anderem regelmäßig die Erfüllung der Sicherheitsanforderungen und die Eignung der Sicherheitsstrategie überprüft werden.
- Die Ergebnisse der Überprüfungen fließen in die Fortschreibung des Sicherheitsprozesses ein.
- Informationsfluss im Informationssicherheitsprozess
- siehe Kapitel 5.2 der IT-Grundschutz-Methodik
- Um Nachvollziehbarkeit zu erreichen, muss der Sicherheitsprozess auf allen Ebenen dokumentiert sein.
- Dazu gehören insbesondere auch klare Regelungen für Meldewege und Informationsflüsse.
- Die Leitungsebene muss von der Sicherheitsorganisation regelmäßig und in angemessener Form über den Stand der Informationssicherheit informiert werden.
- ISO 27001-Zertifizierung auf der Basis von IT-Grundschutz
- siehe Kapitel 11 der IT-Grundschutz-Methodik
- In vielen Fällen ist es wünschenswert, den Stellenwert der Informationssicherheit und die erfolgreiche Umsetzung des IT-Grundschutzes in einer Behörde bzw. einem Unternehmen transparent zu machen.
- Hierfür bietet sich eine ISO 27001-Zertifizierung auf der Basis von IT-Grundschutz an.
- Nach der Konsolidierung des Sicherheitskonzepts kann der Sicherheitsprozess, wie er im BSI-Standard 200-2 IT-Grundschutz-Methodik (siehe [BSI2]) beschrieben ist, fortgesetzt werden.