Sie befinden sich hier: Themen IT-Grundschutz-Kataloge. Inhalt. Dokumententitel: M 2.335 Festlegung der IT-Sicherheitsziele und -strategie - IT-Grundschutz-Kataloge - Stand 2006
direkt zu der Navigation Servicebereich. direkt zu der Hauptnavigation. direkt zur Themennavigation. direkt zum Seiteninhalt.

M 2.335 Festlegung der IT-Sicherheitsziele und -strategie

Verantwortlich für Initiierung: Behörden-/Unternehmensleitung

Verantwortlich für Umsetzung: Behörden-/Unternehmensleitung, IT-Sicherheitsbeauftragter

Informationssicherheit ist ein wichtiger Erfolgsfaktor, um die Ziele und Aufgaben eines Unternehmens bzw. einer Behörde erfüllen zu können. Informationssicherheit ist kein einmaliges Projekt, sondern ein kontinuierlicher Prozess, der auch als solches in allen Geschäftsprozessen und den Köpfen aller Mitarbeiter verankert werden muss. Der IT-Sicherheitsprozess muss durch die Behörden- bzw. Unternehmensleitung initiiert und etabliert werden. Zunächst müssen angemessene IT-Sicherheitsziele sowie eine Strategie festgelegt werden. Neben den strategischen Leitaussagen müssen konzeptionelle Vorgaben erarbeitet und die organisatorischen Rahmenbedingungen geschaffen werden, um das ordnungsgemäße und sichere IT-gestützte Arbeiten des Unternehmens oder der Behörde zu ermöglichen.

Die IT-Sicherheitsziele sollten zu Beginn jedes Sicherheitsprozesses sorgfältig bestimmt werden. Anderenfalls besteht die Gefahr, dass IT-Sicherheitskonzepte erarbeitet werden, die die eigentlichen Anforderungen der Behörde bzw. des Unternehmens verfehlen. IT-Sicherheit hilft, die grundlegenden Ziele und Aufgaben eines Unternehmens bzw. einer Behörde zu erreichen. Die Grundlage für die Definition der IT-Sicherheitsziele bilden daher die generellen Ziele der Institution sowie die wesentlichen Geschäftsprozesse und Informationen. Angemessene und erreichbare IT-Sicherheitsziele sind Voraussetzung für alle weiteren Schritte im IT-Sicherheitsprozess. Die Ziele müssen realistisch, praxisorientiert, überzeugend und verständlich sein. Hieraus lässt sich dann im Rahmen der IT-Sicherheitskonzeption ableiten, welchen Schutzbedarf die einzelnen IT-Anwendungen, IT-Komponenten und Netze haben und welche Sicherheitsmaßnahmen daher umzusetzen sind.

Bei der Umsetzung von IT-Sicherheitsmaßnahmen muss in der Regel immer ein Kompromiss zwischen Kosten und Aufwand gefunden werden. Es sollte daher transparent sein, welche Informationen und Geschäftsprozesse zur Aufgabenerfüllung beitragen und welcher Wert diesen beigemessen wird, um daraus angemessene IT-Sicherheitsziele zu formulieren

Die IT-Sicherheitsziele müssen von der Unternehmens- oder Behördenleitung getragen und verantwortet werden. Sie sollten von der IT-Sicherheitsorganisation unter Beteiligung der Leitungsebene erarbeitet und dokumentiert werden. Je nach Organisationsstruktur ist es ratsam, die Leiter von größeren Geschäftsbereichen (z. B. Abteilungsleiter oder Bereichsleiter) in die Beratungen einzubeziehen.

Eine detaillierte Beschreibung, wie und in welcher Beschreibungstiefe IT-Sicherheitsstrategie und -ziele festgehalten werden sollten, findet sich im BSI-Standard 100-2 Vorgehensweise nach IT-Grundschutz.

IT-Sicherheitsziele und -strategie sollten regelmäßig daraufhin beleuchtet werden, ob sie noch aktuell und angemessen sind. Insbesondere bei Ände

rungen von Rahmenbedingungen, von Geschäftsprozessen oder des IT-Umfeldes müssen die IT-Sicherheitsziele und -strategie überprüft und eventuell angepasst werden.

Der IT-Sicherheitsprozess kann nur dann langfristig erfolgreich sein, wenn die Wirksamkeit und Effizienz der IT-Sicherheitsstrategie regelmäßig von der Leitungsebene überprüft wird. Die daraus resultierenden Verbesserungen gehen in die Anpassung des Sicherheitsprozesses ein.

Ergänzende Kontrollfragen: