BSI/200-3/Rückführung

Aus Foxwiki
Version vom 10. Juni 2023, 23:43 Uhr von Dirkwagner (Diskussion | Beiträge) (Dirkwagner verschob die Seite Grundschutz/Standard/200-3/Rückführung nach BSI/Standard/200-3/Rückführung, ohne dabei eine Weiterleitung anzulegen: Textersetzung - „Grundschutz/Standard“ durch „BSI/Standard“)
Rückführung in den Sicherheitsprozess

Nach der Konsolidierung des Sicherheitskonzepts kann der Sicherheitsprozess, wie er im BSI-Standard 200-2 IT-Grundschutz-Methodik (siehe [BSI2]) beschrieben ist, fortgesetzt werden.

Ergänztes Sicherheitskonzept als Basis für folgende Arbeitsschritte
  • IT-Grundschutz-Check
    • siehe Kapitel 8.4 der IT-Grundschutz-Methodik
    • Im Rahmen der Vorar­beiten wurde bereits ein IT-Grundschutz-Check für die laut IT-Grundschutz-Modell zu erfüllenden Sicherheitsanforderungen durchgeführt.
    • Da sich bei der Risikoanalyse in der Regel Änderungen am Sicherheitskonzept ergeben, ist anschließend noch der Umsetzungsstatus der neu hinzugekom­menen oder geänderten Anforderungen zu prüfen.
    • Gegebenenfalls veraltete Ergebnisse sollten auf den neuesten Stand gebracht werden.
  • Umsetzung der Sicherheitskonzeption
    • Kapitel 9 der IT-Grundschutz-Methodik
    • Die im Sicher­heitskonzept für die einzelnen Zielobjekte vorgesehenen Sicherheitsanforderungen müssen erfüllt werden.
    • Hierfür müssen die daraus abgeleiteten Sicherheitsmaßnahmen in die Praxis umgesetzt werden, damit sie wirksam werden können.
    • Dies umfasst unter anderem eine Kosten- und Auf­wandsschätzung sowie die Festlegung der Umsetzungsreihenfolge.
  • Überprüfung des Informationssicherheitsprozesses in allen Ebenen
    • siehe Kapitel 10.1 der IT-Grundschutz-Methodik
    • Zur Aufrechterhaltung und kontinuierlichen Verbesserung der Infor­mationssicherheit müssen unter anderem regelmäßig die Erfüllung der Sicherheitsanforderungen und die Eignung der Sicherheitsstrategie überprüft werden.
    • Die Ergebnisse der Überprüfungen fließen in die Fortschreibung des Sicherheitsprozesses ein.
  • Informationsfluss im Informationssicherheitsprozess
    • siehe Kapitel 5.2 der IT-Grund­schutz-Methodik
    • Um Nachvollziehbarkeit zu erreichen, muss der Sicherheitsprozess auf allen Ebenen dokumentiert sein.
    • Dazu gehören insbesondere auch klare Regelungen für Meldewege und Informationsflüsse.
    • Die Leitungsebene muss von der Sicherheitsorganisation regelmäßig und in angemessener Form über den Stand der Informationssicherheit informiert werden.
  • ISO 27001-Zertifizierung auf der Basis von IT-Grundschutz
    • siehe Kapitel 11 der IT-Grund­schutz-Methodik
    • In vielen Fällen ist es wünschenswert, den Stellenwert der Informationssicher­heit und die erfolgreiche Umsetzung des IT-Grundschutzes in einer Behörde bzw. einem Unterneh­men transparent zu machen.
    • Hierfür bietet sich eine ISO 27001-Zertifizierung auf der Basis von IT-Grundschutz an.
    • Nach der Konsolidierung des Sicherheitskonzepts kann der Sicherheitsprozess, wie er im BSI-Standard 200-2 IT-Grundschutz-Methodik (siehe [BSI2]) beschrieben ist, fortgesetzt werden.