DER IT-GRUNDSCHUTZ NACH BSI-LOS14: Unterschied zwischen den Versionen
Zur Navigation springen
Zur Suche springen
| Zeile 44: | Zeile 44: | ||
*Gewährleistung der aus gesetzlichen Vorgaben resultierenden Anforderungen | *Gewährleistung der aus gesetzlichen Vorgaben resultierenden Anforderungen | ||
*Schutz von natürlichen Personen hinsichtlich ihrer körperlichen und geistigen Unversehrtheit | *Schutz von natürlichen Personen hinsichtlich ihrer körperlichen und geistigen Unversehrtheit | ||
| − | + | =Grundlegenden Inhalte für eine Sicherheitsleitlinie= | |
| − | + | *Stellenwert der Informationssicherheit und Bedeutung der wesentlichen Informationen, Geschäftsprozesse und der IT für die Aufgabenerfüllung | |
| + | *Bezug der Informationssicherheitsziele zu den Geschäftszielen oder Aufgaben der Institution | ||
| + | *Sicherheitsziele und die Kernelemente der Sicherheitsstrategie für die Geschäftsprozesse und die eingesetzte IT | ||
| + | *Zusicherung, dass die Sicherheitsleitlinie von der Institutionsleitung durchgesetzt wird | ||
| + | *Leitaussagen zur Erfolgskontrolle | ||
| + | *Beschreibung der geplanten Organisationsstruktur | ||
| + | *Aufgaben und Zuständigkeiten im Sicherheitsprozess sollten aufgezeigt werden | ||
| + | *Programme zur Förderung der Informationssicherheit durch Schulungs- und Sensibilisierungsmaßnahmen können angekündigt werden | ||
| + | *wichtige Gefährdungen, relevante gesetzliche Regelungen etc. können eingangs skizziert werden. | ||
https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Broschueren/Leitfaden_zur_Basis-Absicherung.pdf?__blob=publicationFile&v=3 | https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Broschueren/Leitfaden_zur_Basis-Absicherung.pdf?__blob=publicationFile&v=3 | ||
Version vom 11. Oktober 2020, 10:53 Uhr
In drei Schritten zur Informationssicherheit
Initiierung des Sicherheitsprozesses
- Übernahme der Verantwortung durch die Leitungsebene
- Geltungsbereichbestimmen
- Sicherheitsziele festlegen und Leitlinie erstellen
Organisation des Sicherheitsprozesses
- Aufbau einer Organisationsstruktur einer Informationssicherheits
- Integration in bestehende Abläufe und Prozesse
- Konzeption und Planung des Sicherheitsprozesses
Durchführung des Sicherheitsprozesses
- Auswahl und Priorisierung der Bausteine
- IT-Grundschutz-Check
- Umsetzung der Sicherheitskonzeption
Sicherheitsrelevante Themen für die Leitungsebene
- Sicherheitsrisiken für die Institution und deren Informationen
- Auswirkungen und Kosten im Schadensfall
- Auswirkungen von Sicherheitsvorfällen auf kritische Geschäftsprozesse
- Sicherheitsanforderungen, die sich aus gesetzlichen und vertraglichen Vorgaben ergeben
- die für eine Branche typischen Vorgehensweisen zur Informationssicherheit
- der aktuelle Stand der Informationssicherheit in der Institution mit abgeleiteten Handlungsempfehlungen
Verantwortung durch die Leitungsebene
- Die Leitungsebene trägt die Gesamtverantwortung für Informationssicherheit.
- Die Leitungsebene muss jederzeit über mögliche Risiken und Konsequenzen für die Informationssicherheit informiert sein.
- Die Leitungsebene initiiert den Informationssicherheitsprozess innerhalb der Institution und benennt einen Verantwortlichen Informationssicherheitsbeauftragten (ISB).
- Die Leitungsebene unterstützt den ISB vollständig und stellt ausreichende Ressourcen bereit, um die gesetzten Ziele erreichen zu können.
Zuständigkeiten und Aufgaben des ISB
- Informationssicherheitsprozess steuern und bei allen damit zusammenhängenden Aufgaben mitwirken
- die Leitungsebene bei der Erstellung der Leitlinie zur Informationssicherheit unterstützen
- die Erstellung des Sicherheitskonzepts, des Notfallvorsorgekonzepts und Sicherheitsrichtlinien koordinieren sowie weitere Richtlinien und Regelungen zur Informationssicherheit erlassen
- die Realisierung von Sicherheitsmaßnahmen initiieren und überprüfen
- der Leitungsebene über den Status quo der Informationssicherheit berichten
- sicherheitsrelevante Projekte koordinieren
- Sicherheitsvorfälle untersuchen
- Sensibilisierungs- und Schulungsmaßnahmen zur Informationssicherheit initiieren und koordinieren
Definition des Informationsverbundes
- Festlegen, welche kritischen Geschäftsprozesse, Fachaufgaben oder Teile der Institution der Geltungsbereich beinhalten soll.
- Den Geltungsbereich eindeutig abgrenzen.
- Schnittstellen zu externen Partnern beschreiben.
Beispiele für Sicherheitsziele
- hohe Verlässlichkeit des Handelns, auch in Bezug auf den Umgang mit Informationen (Verfügbarkeit, Integrität, Vertraulichkeit)
- Gewährleistung der guten Reputation der Institution in der Öffentlichkeit
- Erhaltung der in Technik, Informationen, Arbeitsprozesse und Wissen investierten Werte
- Sicherung der hohen, möglicherweise unwiederbringlichen Werte der verarbeiteten Informationen
- Gewährleistung der aus gesetzlichen Vorgaben resultierenden Anforderungen
- Schutz von natürlichen Personen hinsichtlich ihrer körperlichen und geistigen Unversehrtheit
Grundlegenden Inhalte für eine Sicherheitsleitlinie
- Stellenwert der Informationssicherheit und Bedeutung der wesentlichen Informationen, Geschäftsprozesse und der IT für die Aufgabenerfüllung
- Bezug der Informationssicherheitsziele zu den Geschäftszielen oder Aufgaben der Institution
- Sicherheitsziele und die Kernelemente der Sicherheitsstrategie für die Geschäftsprozesse und die eingesetzte IT
- Zusicherung, dass die Sicherheitsleitlinie von der Institutionsleitung durchgesetzt wird
- Leitaussagen zur Erfolgskontrolle
- Beschreibung der geplanten Organisationsstruktur
- Aufgaben und Zuständigkeiten im Sicherheitsprozess sollten aufgezeigt werden
- Programme zur Förderung der Informationssicherheit durch Schulungs- und Sensibilisierungsmaßnahmen können angekündigt werden
- wichtige Gefährdungen, relevante gesetzliche Regelungen etc. können eingangs skizziert werden.