BSI/200-3/Rückführung: Unterschied zwischen den Versionen

Aus Foxwiki
K Textersetzung - „bzw.“ durch „bzw. “
K Textersetzung - „bzw.  “ durch „bzw. “
Zeile 24: Zeile 24:
* ISO 27001-Zertifizierung auf der Basis von IT-Grundschutz  
* ISO 27001-Zertifizierung auf der Basis von IT-Grundschutz  
** siehe Kapitel 11 der IT-Grund­schutz-Methodik
** siehe Kapitel 11 der IT-Grund­schutz-Methodik
** In vielen Fällen ist es wünschenswert, den Stellenwert der Informationssicher­heit und die erfolgreiche Umsetzung des IT-Grundschutzes in einer Behörde bzw.  einem Unterneh­men transparent zu machen.  
** In vielen Fällen ist es wünschenswert, den Stellenwert der Informationssicher­heit und die erfolgreiche Umsetzung des IT-Grundschutzes in einer Behörde bzw. einem Unterneh­men transparent zu machen.  
** Hierfür bietet sich eine ISO 27001-Zertifizierung auf der Basis von IT-Grundschutz an.  
** Hierfür bietet sich eine ISO 27001-Zertifizierung auf der Basis von IT-Grundschutz an.  
** Nach der Konsolidierung des Sicherheitskonzepts kann der Sicherheitsprozess, wie er im BSI-Standard 200-2 IT-Grundschutz-Methodik (siehe [BSI2]) beschrieben ist, fortgesetzt werden.
** Nach der Konsolidierung des Sicherheitskonzepts kann der Sicherheitsprozess, wie er im BSI-Standard 200-2 IT-Grundschutz-Methodik (siehe [BSI2]) beschrieben ist, fortgesetzt werden.


[[Kategorie:Grundschutz/Standard/200-3]]
[[Kategorie:Grundschutz/Standard/200-3]]

Version vom 28. Mai 2023, 22:04 Uhr

Rückführung in den Sicherheitsprozess

Nach der Konsolidierung des Sicherheitskonzepts kann der Sicherheitsprozess, wie er im BSI-Standard 200-2 IT-Grundschutz-Methodik (siehe [BSI2]) beschrieben ist, fortgesetzt werden.

Ergänztes Sicherheitskonzept als Basis für folgende Arbeitsschritte
  • IT-Grundschutz-Check
    • siehe Kapitel 8.4 der IT-Grundschutz-Methodik
    • Im Rahmen der Vorar­beiten wurde bereits ein IT-Grundschutz-Check für die laut IT-Grundschutz-Modell zu erfüllenden Sicherheitsanforderungen durchgeführt.
    • Da sich bei der Risikoanalyse in der Regel Änderungen am Sicherheitskonzept ergeben, ist anschließend noch der Umsetzungsstatus der neu hinzugekom­menen oder geänderten Anforderungen zu prüfen.
    • Gegebenenfalls veraltete Ergebnisse sollten auf den neuesten Stand gebracht werden.
  • Umsetzung der Sicherheitskonzeption
    • Kapitel 9 der IT-Grundschutz-Methodik
    • Die im Sicher­heitskonzept für die einzelnen Zielobjekte vorgesehenen Sicherheitsanforderungen müssen erfüllt werden.
    • Hierfür müssen die daraus abgeleiteten Sicherheitsmaßnahmen in die Praxis umgesetzt werden, damit sie wirksam werden können.
    • Dies umfasst unter anderem eine Kosten- und Auf­wandsschätzung sowie die Festlegung der Umsetzungsreihenfolge.
  • Überprüfung des Informationssicherheitsprozesses in allen Ebenen
    • siehe Kapitel 10.1 der IT-Grundschutz-Methodik
    • Zur Aufrechterhaltung und kontinuierlichen Verbesserung der Infor­mationssicherheit müssen unter anderem regelmäßig die Erfüllung der Sicherheitsanforderungen und die Eignung der Sicherheitsstrategie überprüft werden.
    • Die Ergebnisse der Überprüfungen fließen in die Fortschreibung des Sicherheitsprozesses ein.
  • Informationsfluss im Informationssicherheitsprozess
    • siehe Kapitel 5.2 der IT-Grund­schutz-Methodik
    • Um Nachvollziehbarkeit zu erreichen, muss der Sicherheitsprozess auf allen Ebenen dokumentiert sein.
    • Dazu gehören insbesondere auch klare Regelungen für Meldewege und Informationsflüsse.
    • Die Leitungsebene muss von der Sicherheitsorganisation regelmäßig und in angemessener Form über den Stand der Informationssicherheit informiert werden.
  • ISO 27001-Zertifizierung auf der Basis von IT-Grundschutz
    • siehe Kapitel 11 der IT-Grund­schutz-Methodik
    • In vielen Fällen ist es wünschenswert, den Stellenwert der Informationssicher­heit und die erfolgreiche Umsetzung des IT-Grundschutzes in einer Behörde bzw. einem Unterneh­men transparent zu machen.
    • Hierfür bietet sich eine ISO 27001-Zertifizierung auf der Basis von IT-Grundschutz an.
    • Nach der Konsolidierung des Sicherheitskonzepts kann der Sicherheitsprozess, wie er im BSI-Standard 200-2 IT-Grundschutz-Methodik (siehe [BSI2]) beschrieben ist, fortgesetzt werden.