Kategorie:RECPLAST: Unterschied zwischen den Versionen

Aus Foxwiki
Zeile 18: Zeile 18:


=== Richtlinien für Informationssicherheit ===
=== Richtlinien für Informationssicherheit ===
Die Leitung einer Institution muss die Informationssicherheit steuern.
; Die Leitung einer Institution muss die Informationssicherheit steuern
* Dazu ist es unter anderem erforderlich, grundlegende Aspekte der Informationssicherheit zu regeln, Informationssicherheitsziele zu definieren und festzulegen, wie überprüft werden kann, dass die Ziele erreicht wurden.  
* Dazu ist es unter anderem erforderlich, grundlegende Aspekte der Informationssicherheit zu regeln, Informationssicherheitsziele zu definieren und festzulegen, wie überprüft werden kann, dass die Ziele erreicht wurden.  
* Informationssicherheit ist ein Prozess und muss kontinuierlich aufrechterhalten und verbessert werden.  
* Informationssicherheit ist ein Prozess und muss kontinuierlich aufrechterhalten und verbessert werden.  
* Die IT-Grundschutz-Methodik sieht dazu vor, dass es mindestens folgende Richtlinien geben muss:


; Die IT-Grundschutz-Methodik sieht dazu vor, dass es mindestens folgende Richtlinien geben muss:
* Sicherheitsleitlinie
* Sicherheitsleitlinie
* Richtlinie zur Risikoanalyse
* Richtlinie zur Risikoanalyse

Version vom 31. August 2023, 23:37 Uhr

TMP

Beschreibung und Vorgehensweise

Anhand dieses Beispiels wird die IT-Grundschutz-Methodik gemäß BSI-Standard 200-2 dargestellt
  • Die RECPLAST GmbH ist ein mittelständisches Unternehmen mit einem typischen Informationsverbund
Referenzdokumente

Dabei werden Auszüge aus den Referenzdokumenten verwendet

  • die im Rahmen der IT-Grundschutz-Methodik erstellt werden

Die Referenzdokumente sind elementarer Bestandteil der IT-Grundschutz-Methodik und werden insbesondere für eine Zertifizierung nach ISO 27001 auf der Basis von IT-Grundschutz benötigt.

Die vollständigen Referenzdokumente der RECPLAST GmbH sind ebenfalls auf dieser Seite verfügbar.

  • Beschreibung der RECPLAST GmbH

Referenzdokumente

Die folgenden Dokumente zeigen beispielhaft auf, wie die Referenzdokumente aufgebaut sein können, die für eine Zertifizierung nach ISO 27001 auf Basis von IT-Grundschutz notwendig sind.

Richtlinien für Informationssicherheit

Die Leitung einer Institution muss die Informationssicherheit steuern
  • Dazu ist es unter anderem erforderlich, grundlegende Aspekte der Informationssicherheit zu regeln, Informationssicherheitsziele zu definieren und festzulegen, wie überprüft werden kann, dass die Ziele erreicht wurden.
  • Informationssicherheit ist ein Prozess und muss kontinuierlich aufrechterhalten und verbessert werden.
Die IT-Grundschutz-Methodik sieht dazu vor, dass es mindestens folgende Richtlinien geben muss
  • Sicherheitsleitlinie
  • Richtlinie zur Risikoanalyse
  • Richtlinie zur Lenkung von Dokumenten und Aufzeichnungen
  • Richtlinie zur internen ISMS-Auditierung
  • Richtlinie zur Lenkung von Korrektur- und Vorbeugungsmaßnahmen

Strukturanalyse

Die Strukturanalyse beschreibt den Informationsverbund und seine Einbindung in die Institution.

  • Zur Strukturanalyse gehören:
  • Abgrenzung des Informationsverbunds
  • Strukturanalyse der RECPLAST GmbH
  • Strukturanalyse Abhängigkeiten der RECPLAST GmbH
  • Liste der Dienstleister
  • Zuordnung Prozesse zu Standorten

Schutzbedarfsfeststellung

Bei der Schutzbedarfsfeststellung wird zunächst der Schutzbedarf der Geschäftsprozesse bestimmt.

  • Darauf aufbauend wird der Schutzbedarf der Anwendungen, IT-Systeme und aller weiteren Zielobjekte abgeleitet.
  • Eventuelle Abweichungen werden begründet.
  • Definition der Schutzbedarfskategorien
  • Schutzbedarfsfeststellung

Modellierung des Informationsverbunds

Die Modellierung listet alle Bausteine auf, die einem Zielobjekt zugeordnet wurden.

  • Außerdem gibt es eine Liste von IT-Grundschutz-Bausteinen, die bei einem externen Dienstleister umgesetzt werden und eine Liste mit IT-Grundschutz-Bausteinen, die nicht verwendet werden.
  • Modellierung der RECPLAST GmbH
  • Bausteine, die nicht verwendet wurden.

Ergebnis des IT-Grundschutz-Checks

Im IT-Grundschutz-Check wird für jedes Zielobjekt geprüft, ob die Anforderungen aus den relevanten IT-Grundschutz-Bausteinen umgesetzt sind.

  • Aus Gründen der Übersichtlichkeit ist der IT-Grundschutz-Check der RECPLAST GmbH nur auszugsweise enthalten.

Ergebnis des IT-Grundschutz-Checks

Risikoanalyse

Eine Risikoanalyse muss für alle Zielobjekte durchgeführt werden, die einen erhöhten Schutzbedarf haben, die unter besonderen Bedingungen eingesetzt werden oder für die es keinen IT-Grundschutz-Baustein gibt.

  • Die Risikoanalyse muss gemäß der Richtlinie für Risikoanalyse durchgeführt werden.
  • Risikoanalyse
  • Risikoanalyse auf Geschäftsprozessebene

Realisierungsplan

In den Realisierungsplan werden alle Anforderungen aufgenommen, die noch nicht (ausreichend) umgesetzt sind.

  • Außerdem werden Maßnahmen, die sich aus der Risikoanalyse ergeben haben, im Realisierungsplan aufgenommen.
  • Der Realisierungsplan soll darstellen, welche Maßnahmen durch wen, bis wann durchzuführen sind.

Realisierungsplan

Seiten in der Kategorie „RECPLAST“

Folgende 2 Seiten sind in dieser Kategorie, von 2 insgesamt.