Sie befinden sich hier: Themen IT-Grundschutz-Kataloge. Inhalt. Dokumententitel: B 1.0 IT-Sicherheitsmanagement - IT-Grundschutz-Kataloge - Stand 2006
direkt zu der Navigation Servicebereich. direkt zu der Hauptnavigation. direkt zur Themennavigation. direkt zum Seiteninhalt.

B 1.0 IT-Sicherheitsmanagement

Logo IT-Sicherheitsmanagement

Beschreibung

Die sichere Verarbeitung von Informationen ist heutzutage für nahezu alle Unternehmen und Behörden von existenzieller Bedeutung. Dabei können Informationen sowohl auf Papier, in Rechnern oder auch in Köpfen gespeichert sein. Für den Schutz der Informationen reicht es nicht aus, nur technische Sicherheitslösungen einzusetzen. Ein angemessenes IT-Sicherheitsniveau kann nur durch geplantes und organisiertes Vorgehen aller Beteiligten erreicht und aufrechterhalten werden. Voraussetzung für die sinnvolle Umsetzung und Erfolgskontrolle von Sicherheitsmaßnahmen ist eine systematische Vorgehensweise. Diese Planungs-, Lenkungs- und Kontrollaufgabe wird als Informationssicherheitsmanagement oder auch als IT-Sicherheitsmanagement bezeichnet.

Der Begriff Informationssicherheit ist umfassender als der Begriff IT-Sicherheit und wird daher zunehmend verwendet. Da IT-Sicherheit aber in dieser sowie in anderen Publikationen ein eingeführter Begriff ist, wird er im folgenden auch weiterhin verwendet.

Ein funktionierendes IT-Sicherheitsmanagement muss in die existierenden Managementstrukturen einer jeden Institution eingebettet werden. Daher ist es praktisch nicht möglich, eine für jede Institution unmittelbar anwendbare Organisationsstruktur für das IT-Sicherheitsmanagement anzugeben. Vielmehr werden häufig Anpassungen an spezifische Gegebenheiten erforderlich sein.

Dieser Baustein soll aufzeigen, wie ein funktionierendes IT-Sicherheitsmanagement eingerichtet und im laufenden Betrieb weiterentwickelt werden kann. Er beschreibt dazu sinnvolle Schritte eines systematischen IT-Sicherheitsprozesses und gibt Anleitungen zur Erstellung eines umfassenden IT-Sicherheitskonzeptes. Der Baustein baut auf dem BSI-Standard 100-1 Managementsysteme für Informationssicherheit und BSI-Standard 100-2 Vorgehensweise nach IT-Grundschutz auf und fasst die wichtigsten Aspekte zum IT-Sicherheitsmanagement hieraus zusammen.

Gefährdungslage

Gefährdungen im Umfeld des IT-Sicherheitsmanagements können vielfältiger Natur sein. Stellvertretend für diese Vielzahl der Gefährdungen wird in diesem Baustein die folgende typische Gefährdung betrachtet:

Organisatorischer Mängel:

- G 2.66 Unzureichendes IT-Sicherheitsmanagement
- G 2.105 Verstoß gegen gesetzliche Regelungen und vertragliche Vereinbarungen
- G 2.106 Störung der Geschäftsabläufe aufgrund von IT-Sicherheitsvorfällen
- G 2.107 Unwirtschaftlicher Umgang mit Ressourcen durch unzureichendes IT-Sicherheitsmanagement

Maßnahmenempfehlungen

Um den betrachteten IT-Verbund abzusichern, müssen zusätzlich zu diesem Baustein noch weitere Bausteine umgesetzt werden, gemäß den Ergebnissen der Modellierung nach IT-Grundschutz.

Im Rahmen des IT-Sicherheitsmanagements sind eine Reihe von Maßnahmen umzusetzen, beginnend mit der Konzeption über den Aufbau geeigneter Organisationsstrukturen bis hin zur regelmäßigen Revision. Die Schritte, die dabei zu durchlaufen sind, sowie die Maßnahmen, die in den jeweiligen Schritten beachtet werden sollten, sind im Folgenden aufgeführt.

Einer der Grundpfeiler zur Erreichung eines angemessenen Sicherheitsniveaus ist, dass die Leitungsebene hinter den Sicherheitszielen steht und sich ihrer Verantwortung für IT-Sicherheit bewusst ist. Die Leitungsebene muss den IT-Sicherheitsprozess initiieren, steuern und kontrollieren, damit dieser in der Institution auch in allen Bereichen umgesetzt wird (siehe M 2.336 Übernahme der Gesamtverantwortung für IT-Sicherheit durch die Leitungsebene).

Weiterhin muss ein kontinuierlicher IT-Sicherheitsprozess etabliert und eine für die jeweilige Institution passende IT-Sicherheitsstrategie festgelegt werden (siehe M 2.335 Festlegung der IT-Sicherheitsziele und -strategie). Die Leitungsebene muss hierfür wie für alle weiteren Sicherheitsfragen eine Person als Hauptverantwortlichen benennen. Diese ist dafür zuständig, eine geeignete Organisationsstruktur für IT-Sicherheit aufzubauen und aufrechtzuerhalten (siehe M 2.193 Aufbau einer geeigneten Organisationsstruktur für IT-Sicherheit). Als eine der ersten Aktionen sollte eine IT-Sicherheitsleitlinie erstellt werden (siehe M 2.192 Erstellung einer IT-Sicherheitsleitlinie).

IT-Sicherheit muss in allen Bereichen der Institution gelebt werden (siehe M 2.337 Integration der IT-Sicherheit in organisationsweite Abläufe und Prozesse). Dazu gehört neben der Erarbeitung eines IT-Sicherheitskonzepts (siehe M 2.195 Erstellung eines IT-Sicherheitskonzepts) auch die Integration der Mitarbeiter in den Sicherheitsprozess (siehe M 2.197 Integration der Mitarbeiter in den Sicherheitsprozess) sowie die Erstellung von zielgruppengerechten IT-Sicherheitsrichtlinien (siehe M 2.338 Erstellung von zielgruppengerechten IT-Sicherheitsrichtlinien).

Nachfolgend wird das Maßnahmenbündel für den Bereich "IT-Sicherheitsmanagement" vorgestellt.

Planung und Konzeption

- M 2.192 (A) Erstellung einer IT-Sicherheitsleitlinie
- M 2.335 (A) Festlegung der IT-Sicherheitsziele und -strategie
- M 2.336 (A) Übernahme der Gesamtverantwortung für IT-Sicherheit durch die Leitungsebene

Umsetzung

- M 2.193 (A) Aufbau einer geeigneten Organisationsstruktur für IT-Sicherheit
- M 2.195 (A) Erstellung eines IT-Sicherheitskonzepts
- M 2.197 (A) Integration der Mitarbeiter in den Sicherheitsprozess
- M 2.337 (A) Integration der IT-Sicherheit in organisationsweite Abläufe und Prozesse
- M 2.338 (Z) Erstellung von zielgruppengerechten IT-Sicherheitsrichtlinien
- M 2.339 (Z) Wirtschaftlicher Einsatz von Ressourcen für IT-Sicherheit

Betrieb

- M 2.199 (A) Aufrechterhaltung der IT-Sicherheit
- M 2.200 (C) Managementreporte und -bewertungen der IT-Sicherheit
- M 2.201 (C) Dokumentation des IT-Sicherheitsprozesses
- M 2.340 (A) Beachtung rechtlicher Rahmenbedingungen
- M 2.380 (C) Ausnahmegenehmigungen