In drei Schritten zur Informationssicherheit

Initiierung des Sicherheitsprozesses

• Übernahme der Verantwortung durch die Leitungsebene
• Geltungsbereichbestimmen
• Sicherheitsziele festlegen und Leitlinie erstellen

Organisation des Sicherheitsprozesses

• Aufbau einer Organisationsstruktur einer Informationssicherheits
• Integration in bestehende Abläufe und Prozesse
• Konzeption und Planung des Sicherheitsprozesses

Durchführung des Sicherheitsprozesses

• Auswahl und Priorisierung der Bausteine
• IT-Grundschutz-Check
• Umsetzung der Sicherheitskonzeption

Sicherheitsrelevante Themen für die Leitungsebene

• Sicherheitsrisiken für die Institution und deren Informationen
• Auswirkungen und Kosten im Schadensfall
• Auswirkungen von Sicherheitsvorfällen auf kritische Geschäftsprozesse
• Sicherheitsanforderungen, die sich aus gesetzlichen und vertraglichen Vorgaben ergeben
• die für eine Branche typischen Vorgehensweisen zur Informationssicherheit
• der aktuelle Stand der Informationssicherheit in der Institution mit abgeleiteten Handlungsempfehlungen

Verantwortung durch die Leitungsebene

• Die Leitungsebene trägt die Gesamtverantwortung für Informationssicherheit.
• Die Leitungsebene muss jederzeit über mögliche Risiken und Konsequenzen für die Informationssicherheit informiert sein.
• Die Leitungsebene initiiert den Informationssicherheitsprozess innerhalb der Institution und benennt einen Verantwortlichen Informationssicherheitsbeauftragten (ISB).
• Die Leitungsebene unterstützt den ISB vollständig und stellt ausreichende Ressourcen bereit, um die gesetzten Ziele erreichen zu können.

Zuständigkeiten und Aufgaben des ISB

• Informationssicherheitsprozess steuern und bei allen damit zusammenhängenden Aufgaben mitwirken
• die Leitungsebene bei der Erstellung der Leitlinie zur Informationssicherheit unterstützen
• die Erstellung des Sicherheitskonzepts, des Notfallvorsorgekonzepts und Sicherheitsrichtlinien koordinieren sowie weitere Richtlinien und Regelungen zur Informationssicherheit erlassen
• die Realisierung von Sicherheitsmaßnahmen initiieren und überprüfen
• der Leitungsebene über den Status quo der Informationssicherheit berichten
• sicherheitsrelevante Projekte koordinieren
• Sicherheitsvorfälle untersuchen
• Sensibilisierungs- und Schulungsmaßnahmen zur Informationssicherheit initiieren und koordinieren

Definition des Informationsverbundes

• Festlegen, welche kritischen Geschäftsprozesse, Fachaufgaben oder Teile der Institution der Geltungsbereich beinhalten soll.
• Den Geltungsbereich eindeutig abgrenzen.
• Schnittstellen zu externen Partnern beschreiben.

=Beispiele für Sicherheitsziele

• hohe Verlässlichkeit des Handelns, auch in Bezug auf den Umgang mit Informationen (Verfügbarkeit, Integrität, Vertraulichkeit)
• Gewährleistung der guten Reputation der Institution in der Öffentlichkeit
• Erhaltung der in Technik, Informationen, Arbeitsprozesse und Wissen investierten Werte
• Sicherung der hohen, möglicherweise unwiederbringlichen Werte der verarbeiteten Informationen
• Gewährleistung der aus gesetzlichen Vorgaben resultierenden Anforderungen
• Schutz von natürlichen Personen hinsichtlich ihrer körperlichen und geistigen Unversehrtheit

https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Broschueren/Leitfaden_zur_Basis-Absicherung.pdf?__blob=publicationFile&v=3