BSI/200-3/Rückführung: Unterschied zwischen den Versionen

Aus Foxwiki
Zeile 4: Zeile 4:
* Dies bedeutet insbesondere, dass in einem '''erneuten Grundschutz-Check''' der Umsetzungsstatus der neu hinzugekommenen oder geänderten Maßnahmen zu prüfen und zu dokumentieren ist, wie in der [https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/IT-Grundschutz/Zertifizierte-Informationssicherheit:IT-Grundschutzschulung/Online-Kurs-IT-Grundschutz/Lektion_6_IT-Grundschutz-Check/Lektion_6_node.html vorherigen Lektion] beschrieben.
* Dies bedeutet insbesondere, dass in einem '''erneuten Grundschutz-Check''' der Umsetzungsstatus der neu hinzugekommenen oder geänderten Maßnahmen zu prüfen und zu dokumentieren ist, wie in der [https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/IT-Grundschutz/Zertifizierte-Informationssicherheit:IT-Grundschutzschulung/Online-Kurs-IT-Grundschutz/Lektion_6_IT-Grundschutz-Check/Lektion_6_node.html vorherigen Lektion] beschrieben.


; Zweiter Grundschutz-Check
; Zweiter Grundschutz-Check erforderlich
Erforderlich
* Da sich in der Regel durch die Risikoanalyse das Sicherheitskonzept geändert hat und der Umsetzungsstatus der neu hinzugekommenen oder geänderten Maßnahmen zu prüfen ist.
* Da sich in der Regel durch die Risikoanalyse das Sicherheitskonzept geändert hat und der Umsetzungsstatus der neu hinzugekommenen oder geänderten Maßnahmen zu prüfen ist.



Version vom 12. September 2023, 11:12 Uhr

Beschreibung

Nach der Konsolidierung des Sicherheitskonzepts
  • kann der Sicherheitsprozess mit den nächsten Schritten fortgesetzt werden.
  • Dies bedeutet insbesondere, dass in einem erneuten Grundschutz-Check der Umsetzungsstatus der neu hinzugekommenen oder geänderten Maßnahmen zu prüfen und zu dokumentieren ist, wie in der vorherigen Lektion beschrieben.
Zweiter Grundschutz-Check erforderlich
  • Da sich in der Regel durch die Risikoanalyse das Sicherheitskonzept geändert hat und der Umsetzungsstatus der neu hinzugekommenen oder geänderten Maßnahmen zu prüfen ist.
Rückführung in den Sicherheitsprozess

Nach der Konsolidierung des Sicherheitskonzepts kann der Sicherheitsprozess, wie er im BSI-Standard 200-2 IT-Grundschutz-Methodik beschrieben ist, fortgesetzt werden.

Folgende Arbeitsschritte

Ergänztes Sicherheitskonzept als Basis für folgende Arbeitsschritte
  1. IT-Grundschutz-Check
    • siehe Kapitel 8.4 der IT-Grundschutz-Methodik
    • Im Rahmen der Vorar­beiten wurde bereits ein IT-Grundschutz-Check für die laut IT-Grundschutz-Modell zu erfüllenden Sicherheitsanforderungen durchgeführt.
    • Da sich bei der Risikoanalyse in der Regel Änderungen am Sicherheitskonzept ergeben, ist anschließend noch der Umsetzungsstatus der neu hinzugekom­menen oder geänderten Anforderungen zu prüfen.
    • Gegebenenfalls veraltete Ergebnisse sollten auf den neuesten Stand gebracht werden.
  2. Umsetzung der Sicherheitskonzeption
    • Kapitel 9 der IT-Grundschutz-Methodik
    • Die im Sicher­heitskonzept für die einzelnen Zielobjekte vorgesehenen Sicherheitsanforderungen müssen erfüllt werden.
    • Hierfür müssen die daraus abgeleiteten Sicherheitsmaßnahmen in die Praxis umgesetzt werden, damit sie wirksam werden können.
    • Dies umfasst unter anderem eine Kosten- und Auf­wandsschätzung sowie die Festlegung der Umsetzungsreihenfolge.
  3. Überprüfung des Informationssicherheitsprozesses in allen Ebenen
    • siehe Kapitel 10.1 der IT-Grundschutz-Methodik
    • Zur Aufrechterhaltung und kontinuierlichen Verbesserung der Infor­mationssicherheit müssen unter anderem regelmäßig die Erfüllung der Sicherheitsanforderungen und die Eignung der Sicherheitsstrategie überprüft werden.
    • Die Ergebnisse der Überprüfungen fließen in die Fortschreibung des Sicherheitsprozesses ein.
  4. Informationsfluss im Informationssicherheitsprozess
    • siehe Kapitel 5.2 der IT-Grund­schutz-Methodik
    • Um Nachvollziehbarkeit zu erreichen, muss der Sicherheitsprozess auf allen Ebenen dokumentiert sein.
    • Dazu gehören insbesondere auch klare Regelungen für Meldewege und Informationsflüsse.
    • Die Leitungsebene muss von der Sicherheitsorganisation regelmäßig und in angemessener Form über den Stand der Informationssicherheit informiert werden.
  5. ISO 27001-Zertifizierung auf der Basis von IT-Grundschutz
    • siehe Kapitel 11 der IT-Grund­schutz-Methodik
    • In vielen Fällen ist es wünschenswert, den Stellenwert der Informationssicher­heit und die erfolgreiche Umsetzung des IT-Grundschutzes in einer Behörde bzw. einem Unterneh­men transparent zu machen.
    • Hierfür bietet sich eine ISO 27001-Zertifizierung auf der Basis von IT-Grundschutz an.
    • Nach der Konsolidierung des Sicherheitskonzepts kann der Sicherheitsprozess, wie er im BSI-Standard 200-2 IT-Grundschutz-Methodik (siehe [BSI2]) beschrieben ist, fortgesetzt werden.


Anhang

Siehe auch

Dokumentation

Links

Projekt
Weblinks