TMP

Beschreibung und Vorgehensweise

Anhand dieses Beispiels wird die IT-Grundschutz-Methodik gemäß BSI-Standard 200-2 dargestellt

• Die RECPLAST GmbH ist ein mittelständisches Unternehmen mit einem typischen Informationsverbund

Referenzdokumente

Dabei werden Auszüge aus den Referenzdokumenten verwendet

• die im Rahmen der IT-Grundschutz-Methodik erstellt werden

Die Referenzdokumente sind elementarer Bestandteil der IT-Grundschutz-Methodik und werden insbesondere für eine Zertifizierung nach ISO 27001 auf der Basis von IT-Grundschutz benötigt.

Die vollständigen Referenzdokumente der RECPLAST GmbH sind ebenfalls auf dieser Seite verfügbar.

• Beschreibung der RECPLAST GmbH

Referenzdokumente

Die folgenden Dokumente zeigen beispielhaft auf, wie die Referenzdokumente aufgebaut sein können, die für eine Zertifizierung nach ISO 27001 auf Basis von IT-Grundschutz notwendig sind.

Richtlinien für Informationssicherheit

Die Leitung einer Institution muss die Informationssicherheit steuern.

• Dazu ist es unter anderem erforderlich, grundlegende Aspekte der Informationssicherheit zu regeln, Informationssicherheitsziele zu definieren und festzulegen, wie überprüft werden kann, dass die Ziele erreicht wurden.
• Informationssicherheit ist ein Prozess und muss kontinuierlich aufrechterhalten und verbessert werden.
• Die IT-Grundschutz-Methodik sieht dazu vor, dass es mindestens folgende Richtlinien geben muss:

• Sicherheitsleitlinie
• Richtlinie zur Risikoanalyse
• Richtlinie zur Lenkung von Dokumenten und Aufzeichnungen
• Richtlinie zur internen ISMS-Auditierung
• Richtlinie zur Lenkung von Korrektur- und Vorbeugungsmaßnahmen

Strukturanalyse

Die Strukturanalyse beschreibt den Informationsverbund und seine Einbindung in die Institution.

• Zur Strukturanalyse gehören:

• Abgrenzung des Informationsverbunds
• Strukturanalyse der RECPLAST GmbH
• Strukturanalyse Abhängigkeiten der RECPLAST GmbH
• Liste der Dienstleister
• Zuordnung Prozesse zu Standorten

Schutzbedarfsfeststellung

Bei der Schutzbedarfsfeststellung wird zunächst der Schutzbedarf der Geschäftsprozesse bestimmt.

• Darauf aufbauend wird der Schutzbedarf der Anwendungen, IT-Systeme und aller weiteren Zielobjekte abgeleitet.
• Eventuelle Abweichungen werden begründet.

• Definition der Schutzbedarfskategorien
• Schutzbedarfsfeststellung

Modellierung des Informationsverbunds

Die Modellierung listet alle Bausteine auf, die einem Zielobjekt zugeordnet wurden.

• Außerdem gibt es eine Liste von IT-Grundschutz-Bausteinen, die bei einem externen Dienstleister umgesetzt werden und eine Liste mit IT-Grundschutz-Bausteinen, die nicht verwendet werden.

• Modellierung der RECPLAST GmbH
• Bausteine, die nicht verwendet wurden.

Ergebnis des IT-Grundschutz-Checks

Im IT-Grundschutz-Check wird für jedes Zielobjekt geprüft, ob die Anforderungen aus den relevanten IT-Grundschutz-Bausteinen umgesetzt sind.

• Aus Gründen der Übersichtlichkeit ist der IT-Grundschutz-Check der RECPLAST GmbH nur auszugsweise enthalten.

Ergebnis des IT-Grundschutz-Checks

Risikoanalyse

Eine Risikoanalyse muss für alle Zielobjekte durchgeführt werden, die einen erhöhten Schutzbedarf haben, die unter besonderen Bedingungen eingesetzt werden oder für die es keinen IT-Grundschutz-Baustein gibt.

• Die Risikoanalyse muss gemäß der Richtlinie für Risikoanalyse durchgeführt werden.

• Risikoanalyse
• Risikoanalyse auf Geschäftsprozessebene

Realisierungsplan

In den Realisierungsplan werden alle Anforderungen aufgenommen, die noch nicht (ausreichend) umgesetzt sind.

• Außerdem werden Maßnahmen, die sich aus der Risikoanalyse ergeben haben, im Realisierungsplan aufgenommen.
• Der Realisierungsplan soll darstellen, welche Maßnahmen durch wen, bis wann durchzuführen sind.

Realisierungsplan