BSI/200-3/Rückführung: Unterschied zwischen den Versionen

Aus Foxwiki
K Textersetzung - „Kategorie:BSI/Standard“ durch „Kategorie:Grundschutz/Standard“
Markierung: Manuelle Zurücksetzung
Keine Bearbeitungszusammenfassung
Zeile 1: Zeile 1:
== Fortführung des Sicherheitsprozesses ==
; Nach der Konsolidierung des Sicherheitskonzepts kann der Sicherheitsprozess mit den nächsten Schritten fortgesetzt werden.
* Dies bedeutet insbesondere, dass in einem '''erneuten Grundschutz-Check''' der Umsetzungsstatus der neu hinzugekommenen oder geänderten Maßnahmen zu prüfen und zu dokumentieren ist, wie in der [https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/IT-Grundschutz/Zertifizierte-Informationssicherheit:IT-Grundschutzschulung/Online-Kurs-IT-Grundschutz/Lektion_6_IT-Grundschutz-Check/Lektion_6_node.html vorherigen Lektion] beschrieben.
; Zweiter Grundschutz-Check ist erforderlich
Da sich in der Regel durch die Risikoanalyse das Sicherheitskonzept geändert hat und der Umsetzungsstatus der neu hinzugekommenen oder geänderten Maßnahmen zu prüfen ist.
; Rückführung in den Sicherheitsprozess
; Rückführung in den Sicherheitsprozess
Nach der Konsolidierung des Sicherheitskonzepts kann der Sicherheitsprozess, wie er im BSI-Standard 200-2 IT-Grundschutz-Methodik (siehe [BSI2]) beschrieben ist, fortgesetzt werden.  
Nach der Konsolidierung des Sicherheitskonzepts kann der Sicherheitsprozess, wie er im BSI-Standard 200-2 IT-Grundschutz-Methodik (siehe [BSI2]) beschrieben ist, fortgesetzt werden.  

Version vom 6. September 2023, 11:43 Uhr

Fortführung des Sicherheitsprozesses

Nach der Konsolidierung des Sicherheitskonzepts kann der Sicherheitsprozess mit den nächsten Schritten fortgesetzt werden.
  • Dies bedeutet insbesondere, dass in einem erneuten Grundschutz-Check der Umsetzungsstatus der neu hinzugekommenen oder geänderten Maßnahmen zu prüfen und zu dokumentieren ist, wie in der vorherigen Lektion beschrieben.
Zweiter Grundschutz-Check ist erforderlich

Da sich in der Regel durch die Risikoanalyse das Sicherheitskonzept geändert hat und der Umsetzungsstatus der neu hinzugekommenen oder geänderten Maßnahmen zu prüfen ist.

Rückführung in den Sicherheitsprozess

Nach der Konsolidierung des Sicherheitskonzepts kann der Sicherheitsprozess, wie er im BSI-Standard 200-2 IT-Grundschutz-Methodik (siehe [BSI2]) beschrieben ist, fortgesetzt werden.

Ergänztes Sicherheitskonzept als Basis für folgende Arbeitsschritte
  • IT-Grundschutz-Check
    • siehe Kapitel 8.4 der IT-Grundschutz-Methodik
    • Im Rahmen der Vorar­beiten wurde bereits ein IT-Grundschutz-Check für die laut IT-Grundschutz-Modell zu erfüllenden Sicherheitsanforderungen durchgeführt.
    • Da sich bei der Risikoanalyse in der Regel Änderungen am Sicherheitskonzept ergeben, ist anschließend noch der Umsetzungsstatus der neu hinzugekom­menen oder geänderten Anforderungen zu prüfen.
    • Gegebenenfalls veraltete Ergebnisse sollten auf den neuesten Stand gebracht werden.
  • Umsetzung der Sicherheitskonzeption
    • Kapitel 9 der IT-Grundschutz-Methodik
    • Die im Sicher­heitskonzept für die einzelnen Zielobjekte vorgesehenen Sicherheitsanforderungen müssen erfüllt werden.
    • Hierfür müssen die daraus abgeleiteten Sicherheitsmaßnahmen in die Praxis umgesetzt werden, damit sie wirksam werden können.
    • Dies umfasst unter anderem eine Kosten- und Auf­wandsschätzung sowie die Festlegung der Umsetzungsreihenfolge.
  • Überprüfung des Informationssicherheitsprozesses in allen Ebenen
    • siehe Kapitel 10.1 der IT-Grundschutz-Methodik
    • Zur Aufrechterhaltung und kontinuierlichen Verbesserung der Infor­mationssicherheit müssen unter anderem regelmäßig die Erfüllung der Sicherheitsanforderungen und die Eignung der Sicherheitsstrategie überprüft werden.
    • Die Ergebnisse der Überprüfungen fließen in die Fortschreibung des Sicherheitsprozesses ein.
  • Informationsfluss im Informationssicherheitsprozess
    • siehe Kapitel 5.2 der IT-Grund­schutz-Methodik
    • Um Nachvollziehbarkeit zu erreichen, muss der Sicherheitsprozess auf allen Ebenen dokumentiert sein.
    • Dazu gehören insbesondere auch klare Regelungen für Meldewege und Informationsflüsse.
    • Die Leitungsebene muss von der Sicherheitsorganisation regelmäßig und in angemessener Form über den Stand der Informationssicherheit informiert werden.
  • ISO 27001-Zertifizierung auf der Basis von IT-Grundschutz
    • siehe Kapitel 11 der IT-Grund­schutz-Methodik
    • In vielen Fällen ist es wünschenswert, den Stellenwert der Informationssicher­heit und die erfolgreiche Umsetzung des IT-Grundschutzes in einer Behörde bzw. einem Unterneh­men transparent zu machen.
    • Hierfür bietet sich eine ISO 27001-Zertifizierung auf der Basis von IT-Grundschutz an.
    • Nach der Konsolidierung des Sicherheitskonzepts kann der Sicherheitsprozess, wie er im BSI-Standard 200-2 IT-Grundschutz-Methodik (siehe [BSI2]) beschrieben ist, fortgesetzt werden.