Kategorie:RECPLAST
TMP
Beschreibung und Vorgehensweise
- Anhand dieses Beispiels wird die IT-Grundschutz-Methodik gemäß BSI-Standard 200-2 dargestellt
- Die RECPLAST GmbH ist ein mittelständisches Unternehmen mit einem typischen Informationsverbund
- Referenzdokumente
Dabei werden Auszüge aus den Referenzdokumenten verwendet
- die im Rahmen der IT-Grundschutz-Methodik erstellt werden
Die Referenzdokumente sind elementarer Bestandteil der IT-Grundschutz-Methodik und werden insbesondere für eine Zertifizierung nach ISO 27001 auf der Basis von IT-Grundschutz benötigt.
Die vollständigen Referenzdokumente der RECPLAST GmbH sind ebenfalls auf dieser Seite verfügbar.
- Beschreibung der RECPLAST GmbH
Referenzdokumente
Die folgenden Dokumente zeigen beispielhaft auf, wie die Referenzdokumente aufgebaut sein können, die für eine Zertifizierung nach ISO 27001 auf Basis von IT-Grundschutz notwendig sind.
Richtlinien für Informationssicherheit
- Die Leitung einer Institution muss die Informationssicherheit steuern
- Dazu ist es unter anderem erforderlich, grundlegende Aspekte der Informationssicherheit zu regeln, Informationssicherheitsziele zu definieren und festzulegen, wie überprüft werden kann, dass die Ziele erreicht wurden.
- Informationssicherheit ist ein Prozess und muss kontinuierlich aufrechterhalten und verbessert werden.
- Die IT-Grundschutz-Methodik sieht dazu vor, dass es mindestens folgende Richtlinien geben muss
- Sicherheitsleitlinie
- Richtlinie zur Risikoanalyse
- Richtlinie zur Lenkung von Dokumenten und Aufzeichnungen
- Richtlinie zur internen ISMS-Auditierung
- Richtlinie zur Lenkung von Korrektur- und Vorbeugungsmaßnahmen
Strukturanalyse
Die Strukturanalyse beschreibt den Informationsverbund und seine Einbindung in die Institution.
- Zur Strukturanalyse gehören
- Abgrenzung des Informationsverbunds
- Strukturanalyse der RECPLAST GmbH
- Strukturanalyse Abhängigkeiten der RECPLAST GmbH
- Liste der Dienstleister
- Zuordnung Prozesse zu Standorten
Schutzbedarfsfeststellung
- Bei der Schutzbedarfsfeststellung wird zunächst der Schutzbedarf der Geschäftsprozesse bestimmt
- Darauf aufbauend wird der Schutzbedarf der Anwendungen, IT-Systeme und aller weiteren Zielobjekte abgeleitet.
- Eventuelle Abweichungen werden begründet
- Definition der Schutzbedarfskategorien
- Schutzbedarfsfeststellung
Modellierung des Informationsverbunds
- Die Modellierung listet alle Bausteine auf, die einem Zielobjekt zugeordnet wurden.
- Außerdem gibt es eine Liste von IT-Grundschutz-Bausteinen, die bei einem externen Dienstleister umgesetzt werden und eine Liste mit IT-Grundschutz-Bausteinen, die nicht verwendet werden.
- Modellierung der RECPLAST GmbH
- Bausteine, die nicht verwendet wurden.
Ergebnis des IT-Grundschutz-Checks
Im IT-Grundschutz-Check wird für jedes Zielobjekt geprüft, ob die Anforderungen aus den relevanten IT-Grundschutz-Bausteinen umgesetzt sind.
- Aus Gründen der Übersichtlichkeit ist der IT-Grundschutz-Check der RECPLAST GmbH nur auszugsweise enthalten.
Ergebnis des IT-Grundschutz-Checks
Risikoanalyse
Eine Risikoanalyse muss für alle Zielobjekte durchgeführt werden, die einen erhöhten Schutzbedarf haben, die unter besonderen Bedingungen eingesetzt werden oder für die es keinen IT-Grundschutz-Baustein gibt.
- Die Risikoanalyse muss gemäß der Richtlinie für Risikoanalyse durchgeführt werden.
- Risikoanalyse
- Risikoanalyse auf Geschäftsprozessebene
Realisierungsplan
In den Realisierungsplan werden alle Anforderungen aufgenommen, die noch nicht (ausreichend) umgesetzt sind.
- Außerdem werden Maßnahmen, die sich aus der Risikoanalyse ergeben haben, im Realisierungsplan aufgenommen.
- Der Realisierungsplan soll darstellen, welche Maßnahmen durch wen, bis wann durchzuführen sind.
Realisierungsplan
Seiten in der Kategorie „RECPLAST“
Folgende 2 Seiten sind in dieser Kategorie, von 2 insgesamt.