Erstellung einer ­Sicherheitskonzeption

 

Nachdem ein Informationssicherheitsprozess initiiert worden ist und die Sicherheitsleitlinie und Informationssicherheitsorganisation definiert wurden, ist für das Unternehmen die Sicherheitskonzeption zu erstellen. Als Grundlage hierfür finden sich in den Bausteinen des IT-Grundschutz-Kompendiums für typische Komponenten von Geschäftsprozessen, Anwendungen, IT-Systeme und weitere Objekte entsprechende Sicherheitsanforderungen nach dem Stand der Technik. Diese sind thematisch in Bausteine strukturiert, sodass sie modular aufeinander aufsetzen.

Abhängig davon, ob eine Basis-, Standard- oder Kern-Absicherung angestrebt wird, unterscheiden sich die einzelnen Aktivitäten zur Erstellung einer Sicherheitskonzeption etwas. Bei Anwendung des IT-Grundschutzes wird ein Soll-Ist-Vergleich zwischen den Sicherheitsanforderungen aus den relevanten Bausteinen des IT-Grundschutz-Kompendiums und den im Unternehmen bereits umgesetzten Maßnahmen durchgeführt. Dabei festgestellte fehlende oder nur unzureichend erfüllte Anforderungen zeigen die Sicherheitsdefizite auf, die es durch die Umsetzung von Maßnahmen zu beseitigen gilt.Bei einem signifikant höheren Schutzbedarf ist unter Beachtung von Kosten- und Wirksamkeitsaspekten zusätzlich eine Risikoanalyse durchzuführen.

Umsetzung der ­Sicherheitskonzeption

Ein ausreichendes Sicherheitsniveau ist nur zu erreichen, wenn bestehende Defizite ermittelt, der aktuelle Status in einem Sicherheitskonzept festgehalten, erforderliche Maßnahmen identifiziert und diese Maßnahmen vor allem auch konsequent umgesetzt werden.

Aufrechterhaltung und Verbesserung

  • Beseitigung von Fehlern,
  • Aktualisierung/Fortentwicklung des ISMS,
  • Erweiterung der gewählten Vorgehensweisen und
  • kontinuierliche Verbesserung von Sicherheitsmaßnahmen.

Zertifizierung

Um die erfolgreiche Umsetzung von IT-Grundschutz eines Unternehmens nach außen transparent machen zu können, kann sich das Unternehmen nach ISO/IEC 27001 zertifizieren lassen.

Grundlage für die Vergabe eines ISO-27001-Zertifikats auf der Basis von IT-Grundschutz ist die Durchführung eines Audits durch einen externen, beim BSI zertifizierten Auditor. Das Ergebnis des Audits ist ein Auditbericht, der der Zertifizierungsstelle vorgelegt wird, die über die Vergabe des ISO-27001-Zertifikats auf der Basis von IT-Grundschutz entscheidet. Über ein ISO-27001-Zertifikat auf der Basis von IT-Grundschutz wird zunächst nachgewiesen, dass IT-Grundschutz im betrachteten Informationsverbund erfolgreich umgesetzt worden ist. Darüber hinaus zeigt ein solches Zertifikat auch, dass in dem jeweiligen Unternehmen:

  • Informationssicherheit ein anerkannter Wert ist,
  • ein funktionierendes ISMS vorhanden ist und
  • zu einem bestimmten Zeitpunkt ein definiertes Sicherheitsniveau erreicht wurde.

Fazit

Ein Vorgehen nach IT-Grundschutz stellt eine langjährig erprobte und effiziente Möglichkeit zum Aufbau und zur Aufrechterhaltung eines angemessenen Schutzes aller Informationen eines Unternehmens dar; nicht zuletzt auch für Betreiber kritischer Infrastrukturen. Mit den seit Oktober 2017 veröffentlichten novellierten BSI-Standards 200-1 bis 200-3 stehen hierfür probate Anleitungen und Hilfsmittel zur Verfügung. Die erfolgreiche Implementierung und Aufrechterhaltung eines ISMS kann durch ein ISO-­27001-Zertifikat auf der Basis von IT-Grundschutz unabhängig nachgewiesen werden.

www.doksysteme.de

Stephan Plaspohl, Senior Consultant, DOK Systeme GmbH, Garbsen
2 / 2

Ähnliche Beiträge