Sie befinden sich hier: Themen IT-Grundschutz-Kataloge. Inhalt. Dokumententitel: M 2.380 Ausnahmegenehmigungen - IT-Grundschutz-Kataloge - Stand 2006
direkt zu der Navigation Servicebereich. direkt zu der Hauptnavigation. direkt zur Themennavigation. direkt zum Seiteninhalt.

M 2.380 Ausnahmegenehmigungen

Verantwortlich für Initiierung: IT-Sicherheitsmanagement, Vorgesetzte

Verantwortlich für Umsetzung: IT-Sicherheitsmanagement, Vorgesetzte

In Einzelfällen kann es sinnvoll und notwendig sein, von einer getroffenen Sicherheitsrichtlinie abzuweichen. Ausnahmen sollten möglichst vermieden werden, es ist aber auf jeden Fall besser, eine Ausnahme zuzulassen, als unnachgiebig auf Vorgaben zu bestehen, die im konkreten Einzelfall unsinnig sind. Sollten sich Ausnahmen häufen, ist dies ein Zeichen dafür, dass die vorhandenen Regelungen nicht geeignet sind. Daher müssen dann die Sicherheitsvorgaben überdacht und eventuell angepasst werden.

Ausnahmen müssen aber auf jeden Fall durch eine autorisierte Stelle genehmigt werden. Ausnahmegenehmigungen dürfen nur nach gründlicher Prüfung und in seltenen Fällen erteilt werden. Es muss für alle Ausnahmefälle überprüft werden, ob diese die Sicherheit nicht untergraben. Dafür ist eine Risikobewertung vorzunehmen. Anschließend muss eine schriftliche Begründung verfasst werden, die von den Verantwortlichen zu unterzeichnen ist. Bei der Genehmigung von Ausnahmen sind sowohl Fachverantwortliche als die "Eigentümer" von Informationen und Anwendungen, als auch das IT-Sicherheitsmanagement zu beteiligen.

Ausnahmen dürfen nur genehmigt werden, wenn dass ermittelte Risiko als tragbar eingestuft wurde. Ausnahmegenehmigungen sollten zeitlich klar befristet werden. Es muss regelmäßig überprüft werden (spätestens alle 12 Monate), ob die Ausnahmegenehmigungen noch erforderlich sind und ob Ausnahmegenehmigungen, die während einer bestimmten Phase notwendig waren, anschließend wieder aufgehoben werden.

Für die Erteilung von Ausnahmegenehmigungen sollte ein dokumentiertes Verfahren existieren. Es sollte mindestens folgendes dokumentiert werden:

Über Abweichungen von den geltenden Sicherheitsvorgaben sind alle betroffenen Mitarbeiter zu informieren.

Ergänzende Kontrollfragen: