BSI/200-3/Rückführung: Unterschied zwischen den Versionen

Aus Foxwiki
Keine Bearbeitungszusammenfassung
K Textersetzung - „IT-Grundschutz/Standard/200-3“ durch „IT-Grundschutz/200-3“
Zeile 28: Zeile 28:
** Nach der Konsolidierung des Sicherheitskonzepts kann der Sicherheitsprozess, wie er im BSI-Standard 200-2 IT-Grundschutz-Methodik (siehe [BSI2]) beschrieben ist, fortgesetzt werden.
** Nach der Konsolidierung des Sicherheitskonzepts kann der Sicherheitsprozess, wie er im BSI-Standard 200-2 IT-Grundschutz-Methodik (siehe [BSI2]) beschrieben ist, fortgesetzt werden.


[[Kategorie:IT-Grundschutz/Standard/200-3]]
[[Kategorie:IT-Grundschutz/200-3]]

Version vom 4. Mai 2023, 11:03 Uhr

Rückführung in den Sicherheitsprozess

Nach der Konsolidierung des Sicherheitskonzepts kann der Sicherheitsprozess, wie er im BSI-Standard 200-2 IT-Grundschutz-Methodik (siehe [BSI2]) beschrieben ist, fortgesetzt werden.

Ergänztes Sicherheitskonzept als Basis für folgende Arbeitsschritte
  • IT-Grundschutz-Check
    • siehe Kapitel 8.4 der IT-Grundschutz-Methodik
    • Im Rahmen der Vorar­beiten wurde bereits ein IT-Grundschutz-Check für die laut IT-Grundschutz-Modell zu erfüllenden Sicherheitsanforderungen durchgeführt.
    • Da sich bei der Risikoanalyse in der Regel Änderungen am Sicherheitskonzept ergeben, ist anschließend noch der Umsetzungsstatus der neu hinzugekom­menen oder geänderten Anforderungen zu prüfen.
    • Gegebenenfalls veraltete Ergebnisse sollten auf den neuesten Stand gebracht werden.
  • Umsetzung der Sicherheitskonzeption
    • Kapitel 9 der IT-Grundschutz-Methodik
    • Die im Sicher­heitskonzept für die einzelnen Zielobjekte vorgesehenen Sicherheitsanforderungen müssen erfüllt werden.
    • Hierfür müssen die daraus abgeleiteten Sicherheitsmaßnahmen in die Praxis umgesetzt werden, damit sie wirksam werden können.
    • Dies umfasst unter anderem eine Kosten- und Auf­wandsschätzung sowie die Festlegung der Umsetzungsreihenfolge.
  • Überprüfung des Informationssicherheitsprozesses in allen Ebenen
    • siehe Kapitel 10.1 der IT-Grundschutz-Methodik
    • Zur Aufrechterhaltung und kontinuierlichen Verbesserung der Infor­mationssicherheit müssen unter anderem regelmäßig die Erfüllung der Sicherheitsanforderungen und die Eignung der Sicherheitsstrategie überprüft werden.
    • Die Ergebnisse der Überprüfungen fließen in die Fortschreibung des Sicherheitsprozesses ein.
  • Informationsfluss im Informationssicherheitsprozess
    • siehe Kapitel 5.2 der IT-Grund­schutz-Methodik
    • Um Nachvollziehbarkeit zu erreichen, muss der Sicherheitsprozess auf allen Ebenen dokumentiert sein.
    • Dazu gehören insbesondere auch klare Regelungen für Meldewege und Informationsflüsse.
    • Die Leitungsebene muss von der Sicherheitsorganisation regelmäßig und in angemessener Form über den Stand der Informationssicherheit informiert werden.
  • ISO 27001-Zertifizierung auf der Basis von IT-Grundschutz
    • siehe Kapitel 11 der IT-Grund­schutz-Methodik
    • In vielen Fällen ist es wünschenswert, den Stellenwert der Informationssicher­heit und die erfolgreiche Umsetzung des IT-Grundschutzes in einer Behörde bzw. einem Unterneh­men transparent zu machen.
    • Hierfür bietet sich eine ISO 27001-Zertifizierung auf der Basis von IT-Grundschutz an.
    • Nach der Konsolidierung des Sicherheitskonzepts kann der Sicherheitsprozess, wie er im BSI-Standard 200-2 IT-Grundschutz-Methodik (siehe [BSI2]) beschrieben ist, fortgesetzt werden.