Kategorie:RECPLAST: Unterschied zwischen den Versionen

Aus Foxwiki
Keine Bearbeitungszusammenfassung
Keine Bearbeitungszusammenfassung
Zeile 4: Zeile 4:
Die RECPLAST GmbH ist ein mittelständisches Unternehmen mit einem typischen Informationsverbund.
Die RECPLAST GmbH ist ein mittelständisches Unternehmen mit einem typischen Informationsverbund.


Anhand dieses Beispiels wird die IT-Grundschutz-Methodik gemäß BSI-Standard 200-2 dargestellt. Dabei werden Auszüge aus den sogenannten Referenzdokumenten verwendet, die im Rahmen der IT-Grundschutz-Methodik erstellt werden. Die Referenzdokumente sind elementarer Bestandteil der IT-Grundschutz-Methodik und werden insbesondere für eine Zertifizierung nach ISO 27001 auf der Basis von IT-Grundschutz benötigt. Die vollständigen Referenzdokumente der RECPLAST GmbH sind ebenfalls auf dieser Seite verfügbar.
Anhand dieses Beispiels wird die IT-Grundschutz-Methodik gemäß BSI-Standard 200-2 dargestellt.  
* Dabei werden Auszüge aus den sogenannten Referenzdokumenten verwendet, die im Rahmen der IT-Grundschutz-Methodik erstellt werden.  
* Die Referenzdokumente sind elementarer Bestandteil der IT-Grundschutz-Methodik und werden insbesondere für eine Zertifizierung nach ISO 27001 auf der Basis von IT-Grundschutz benötigt.  
* Die vollständigen Referenzdokumente der RECPLAST GmbH sind ebenfalls auf dieser Seite verfügbar.


Beschreibung der RECPLAST GmbH
Beschreibung der RECPLAST GmbH
Zeile 12: Zeile 15:


=== Richtlinien für Informationssicherheit ===
=== Richtlinien für Informationssicherheit ===
Die Leitung einer Institution muss die Informationssicherheit steuern. Dazu ist es unter anderem erforderlich, grundlegende Aspekte der Informationssicherheit zu regeln, Informationssicherheitsziele zu definieren und festzulegen, wie überprüft werden kann, dass die Ziele erreicht wurden. Informationssicherheit ist ein Prozess und muss kontinuierlich aufrechterhalten und verbessert werden. Die IT-Grundschutz-Methodik sieht dazu vor, dass es mindestens folgende Richtlinien geben muss:
Die Leitung einer Institution muss die Informationssicherheit steuern.  
* Dazu ist es unter anderem erforderlich, grundlegende Aspekte der Informationssicherheit zu regeln, Informationssicherheitsziele zu definieren und festzulegen, wie überprüft werden kann, dass die Ziele erreicht wurden.  
* Informationssicherheit ist ein Prozess und muss kontinuierlich aufrechterhalten und verbessert werden.  
* Die IT-Grundschutz-Methodik sieht dazu vor, dass es mindestens folgende Richtlinien geben muss:


* Sicherheitsleitlinie
* Sicherheitsleitlinie
Zeile 21: Zeile 27:


=== Strukturanalyse ===
=== Strukturanalyse ===
Die Strukturanalyse beschreibt den Informationsverbund und seine Einbindung in die Institution. Zur Strukturanalyse gehören:
Die Strukturanalyse beschreibt den Informationsverbund und seine Einbindung in die Institution.  
* Zur Strukturanalyse gehören:


* Abgrenzung des Informationsverbunds
* Abgrenzung des Informationsverbunds
Zeile 30: Zeile 37:


=== Schutzbedarfsfeststellung ===
=== Schutzbedarfsfeststellung ===
Bei der Schutzbedarfsfeststellung wird zunächst der Schutzbedarf der Geschäftsprozesse bestimmt. Darauf aufbauend wird der Schutzbedarf der Anwendungen, IT-Systeme und aller weiteren Zielobjekte abgeleitet. Eventuelle Abweichungen werden begründet.
Bei der Schutzbedarfsfeststellung wird zunächst der Schutzbedarf der Geschäftsprozesse bestimmt.  
* Darauf aufbauend wird der Schutzbedarf der Anwendungen, IT-Systeme und aller weiteren Zielobjekte abgeleitet.  
* Eventuelle Abweichungen werden begründet.


* Definition der Schutzbedarfskategorien
* Definition der Schutzbedarfskategorien
Zeile 36: Zeile 45:


=== Modellierung des Informationsverbunds ===
=== Modellierung des Informationsverbunds ===
Die Modellierung listet alle Bausteine auf, die einem Zielobjekt zugeordnet wurden. Außerdem gibt es eine Liste von IT-Grundschutz-Bausteinen, die bei einem externen Dienstleister umgesetzt werden und eine Liste mit IT-Grundschutz-Bausteinen, die nicht verwendet werden.
Die Modellierung listet alle Bausteine auf, die einem Zielobjekt zugeordnet wurden.  
* Außerdem gibt es eine Liste von IT-Grundschutz-Bausteinen, die bei einem externen Dienstleister umgesetzt werden und eine Liste mit IT-Grundschutz-Bausteinen, die nicht verwendet werden.


* Modellierung der RECPLAST GmbH
* Modellierung der RECPLAST GmbH
Zeile 42: Zeile 52:


=== Ergebnis des IT-Grundschutz-Checks ===
=== Ergebnis des IT-Grundschutz-Checks ===
Im IT-Grundschutz-Check wird für jedes Zielobjekt geprüft, ob die Anforderungen aus den relevanten IT-Grundschutz-Bausteinen umgesetzt sind. Aus Gründen der Übersichtlichkeit ist der IT-Grundschutz-Check der RECPLAST GmbH nur auszugsweise enthalten.
Im IT-Grundschutz-Check wird für jedes Zielobjekt geprüft, ob die Anforderungen aus den relevanten IT-Grundschutz-Bausteinen umgesetzt sind.  
* Aus Gründen der Übersichtlichkeit ist der IT-Grundschutz-Check der RECPLAST GmbH nur auszugsweise enthalten.


Ergebnis des IT-Grundschutz-Checks
Ergebnis des IT-Grundschutz-Checks


=== Risikoanalyse ===
=== Risikoanalyse ===
Eine Risikoanalyse muss für alle Zielobjekte durchgeführt werden, die einen erhöhten Schutzbedarf haben, die unter besonderen Bedingungen eingesetzt werden oder für die es keinen IT-Grundschutz-Baustein gibt. Die Risikoanalyse muss gemäß der Richtlinie für Risikoanalyse durchgeführt werden.
Eine Risikoanalyse muss für alle Zielobjekte durchgeführt werden, die einen erhöhten Schutzbedarf haben, die unter besonderen Bedingungen eingesetzt werden oder für die es keinen IT-Grundschutz-Baustein gibt.  
* Die Risikoanalyse muss gemäß der Richtlinie für Risikoanalyse durchgeführt werden.


* Risikoanalyse
* Risikoanalyse
Zeile 53: Zeile 65:


=== Realisierungsplan ===
=== Realisierungsplan ===
In den Realisierungsplan werden alle Anforderungen aufgenommen, die noch nicht (ausreichend) umgesetzt sind. Außerdem werden Maßnahmen, die sich aus der Risikoanalyse ergeben haben, im Realisierungsplan aufgenommen. Der Realisierungsplan soll darstellen, welche Maßnahmen durch wen, bis wann durchzuführen sind.
In den Realisierungsplan werden alle Anforderungen aufgenommen, die noch nicht (ausreichend) umgesetzt sind.  
* Außerdem werden Maßnahmen, die sich aus der Risikoanalyse ergeben haben, im Realisierungsplan aufgenommen.  
* Der Realisierungsplan soll darstellen, welche Maßnahmen durch wen, bis wann durchzuführen sind.


Realisierungsplan
Realisierungsplan


[[Kategorie:Grundschutz/Hilfsmittel]]
[[Kategorie:Grundschutz/Hilfsmittel]]

Version vom 31. August 2023, 23:33 Uhr

TMP

Beschreibung und Vorgehensweise

Die RECPLAST GmbH ist ein mittelständisches Unternehmen mit einem typischen Informationsverbund.

Anhand dieses Beispiels wird die IT-Grundschutz-Methodik gemäß BSI-Standard 200-2 dargestellt.

  • Dabei werden Auszüge aus den sogenannten Referenzdokumenten verwendet, die im Rahmen der IT-Grundschutz-Methodik erstellt werden.
  • Die Referenzdokumente sind elementarer Bestandteil der IT-Grundschutz-Methodik und werden insbesondere für eine Zertifizierung nach ISO 27001 auf der Basis von IT-Grundschutz benötigt.
  • Die vollständigen Referenzdokumente der RECPLAST GmbH sind ebenfalls auf dieser Seite verfügbar.

Beschreibung der RECPLAST GmbH

Referenzdokumente

Die folgenden Dokumente zeigen beispielhaft auf, wie die Referenzdokumente aufgebaut sein können, die für eine Zertifizierung nach ISO 27001 auf Basis von IT-Grundschutz notwendig sind.

Richtlinien für Informationssicherheit

Die Leitung einer Institution muss die Informationssicherheit steuern.

  • Dazu ist es unter anderem erforderlich, grundlegende Aspekte der Informationssicherheit zu regeln, Informationssicherheitsziele zu definieren und festzulegen, wie überprüft werden kann, dass die Ziele erreicht wurden.
  • Informationssicherheit ist ein Prozess und muss kontinuierlich aufrechterhalten und verbessert werden.
  • Die IT-Grundschutz-Methodik sieht dazu vor, dass es mindestens folgende Richtlinien geben muss:
  • Sicherheitsleitlinie
  • Richtlinie zur Risikoanalyse
  • Richtlinie zur Lenkung von Dokumenten und Aufzeichnungen
  • Richtlinie zur internen ISMS-Auditierung
  • Richtlinie zur Lenkung von Korrektur- und Vorbeugungsmaßnahmen

Strukturanalyse

Die Strukturanalyse beschreibt den Informationsverbund und seine Einbindung in die Institution.

  • Zur Strukturanalyse gehören:
  • Abgrenzung des Informationsverbunds
  • Strukturanalyse der RECPLAST GmbH
  • Strukturanalyse Abhängigkeiten der RECPLAST GmbH
  • Liste der Dienstleister
  • Zuordnung Prozesse zu Standorten

Schutzbedarfsfeststellung

Bei der Schutzbedarfsfeststellung wird zunächst der Schutzbedarf der Geschäftsprozesse bestimmt.

  • Darauf aufbauend wird der Schutzbedarf der Anwendungen, IT-Systeme und aller weiteren Zielobjekte abgeleitet.
  • Eventuelle Abweichungen werden begründet.
  • Definition der Schutzbedarfskategorien
  • Schutzbedarfsfeststellung

Modellierung des Informationsverbunds

Die Modellierung listet alle Bausteine auf, die einem Zielobjekt zugeordnet wurden.

  • Außerdem gibt es eine Liste von IT-Grundschutz-Bausteinen, die bei einem externen Dienstleister umgesetzt werden und eine Liste mit IT-Grundschutz-Bausteinen, die nicht verwendet werden.
  • Modellierung der RECPLAST GmbH
  • Bausteine, die nicht verwendet wurden.

Ergebnis des IT-Grundschutz-Checks

Im IT-Grundschutz-Check wird für jedes Zielobjekt geprüft, ob die Anforderungen aus den relevanten IT-Grundschutz-Bausteinen umgesetzt sind.

  • Aus Gründen der Übersichtlichkeit ist der IT-Grundschutz-Check der RECPLAST GmbH nur auszugsweise enthalten.

Ergebnis des IT-Grundschutz-Checks

Risikoanalyse

Eine Risikoanalyse muss für alle Zielobjekte durchgeführt werden, die einen erhöhten Schutzbedarf haben, die unter besonderen Bedingungen eingesetzt werden oder für die es keinen IT-Grundschutz-Baustein gibt.

  • Die Risikoanalyse muss gemäß der Richtlinie für Risikoanalyse durchgeführt werden.
  • Risikoanalyse
  • Risikoanalyse auf Geschäftsprozessebene

Realisierungsplan

In den Realisierungsplan werden alle Anforderungen aufgenommen, die noch nicht (ausreichend) umgesetzt sind.

  • Außerdem werden Maßnahmen, die sich aus der Risikoanalyse ergeben haben, im Realisierungsplan aufgenommen.
  • Der Realisierungsplan soll darstellen, welche Maßnahmen durch wen, bis wann durchzuführen sind.

Realisierungsplan

Seiten in der Kategorie „RECPLAST“

Folgende 2 Seiten sind in dieser Kategorie, von 2 insgesamt.