Sie befinden sich hier: Themen. IT-Grundschutz. IT-Grundschutz-Kataloge. Dokument: M 2.201 Dokumentation des Sicherheitsprozesses - IT-Grundschutz-Kataloge - 10. EL Stand 2008
direkt zu der Navigation Servicebereich. direkt zu der Hauptnavigation. direkt zur Themennavigation. direkt zum Seiteninhalt.

M 2.201 Dokumentation des Sicherheitsprozesses

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter

Verantwortlich für Umsetzung: IT-Sicherheitsbeauftragter

Der Ablauf des Sicherheitsprozesses, wichtige Entscheidungen und die Arbeitsergebnisse der einzelnen Phasen sollten dokumentiert werden. Eine solche Dokumentation ist eine wesentliche Grundlage für die Aufrechterhaltung der Informationssicherheit und damit entscheidende Voraussetzung für die effiziente Weiterentwicklung des Prozesses. Sie hilft dabei, die Ursachen von Störungen und fehlgeleiteten Abläufen zu finden und zu beseitigen. Wichtig ist, dass nicht nur die jeweils aktuelle Version kurzfristig zugänglich ist, sondern auch eine zentrale Archivierung der Vorgängerversionen vorgenommen wird. Erst durch die kontinuierliche Dokumentation können die Entwicklungen und Entscheidungen im Bereich Informationssicherheit nachvollziehbar zurückverfolgt werden.

Neben Dokumenten zum Sicherheitsmanagement und dem Sicherheitsprozess gibt es weitere für das Sicherheitsmanagement relevante Dokumente. Abhängig vom Gegenstand und vom Verwendungszweck sind folgende Arten von Dokumentationen zu betrachten:

Berichte an die Leitungsebene

Damit die oberste Leitungsebene einer Behörde oder eines Unternehmens die richtigen Entscheidungen treffen kann, um Informationssicherheit auf einem angemessenen Niveau zu gewährleisten, benötigt sie die dafür notwendigen Informationen. Hierfür sollte der IT-Sicherheitsbeauftragte bzw. das IS-Management-Team regelmäßig sowie anlassbezogen Management-Berichte zum Status der Informationssicherheit (siehe auch M 2.200 Management-Berichte zur Informationssicherheit) erstellen.

Dokumente zum Sicherheitsprozess

Folgende Arten von Dokumentationen zum Sicherheitsprozess sollten erstellt werden:

Dokumentation von Arbeitsabläufen

Arbeitsabläufe, organisatorische Vorgaben und technische Sicherheitsmaßnahmen müssen so dokumentiert werden, dass Sicherheitsvorfälle durch Unkenntnis oder Fehlhandlungen vermieden werden.

Es muss bei Störungen oder Sicherheitsvorfällen möglich sein, den gewünschten Soll-Zustand der Geschäftsprozesse und der IT wiederherzustellen. Technische Einzelheiten und Arbeitsabläufe sind daher so zu dokumentieren, dass dies in angemessener Zeit möglich ist.

Dokumentation von Sicherheitsvorfällen

Sicherheitsrelevante Vorfälle müssen so aufbereitet werden, dass alle damit verbundenen Vorgänge und Entscheidungen nachvollziehbar sind. Ebenso soll es die Dokumentation ermöglichen, Verbesserungen an den Notfallstrategien vorzunehmen und bekannte Fehler zu vermeiden. Zur Bearbeitung von Sicherheitsvorfällen sind außerdem technische Unterlagen, wie Protokolle oder für den Vorfall besonders relevante System-Meldungen, zu speichern und zu archivieren. Die Regelungen des Datenschutzes müssen eingehalten werden.

Technische Dokumentation

Zu dieser Art von sicherheitsrelevanten Dokumentationen gehören:

Anleitungen für Mitarbeiter

Sicherheitsmaßnahmen müssen für die Mitarbeiter verständlich dokumentiert werden. Den Mitarbeitern müssen also

zur Verfügung stehen.

Es kann in seltenen Fällen vorkommen, dass ein Verstoß gegen eine Sicherheitsrichtlinie sinnvoll und notwendig ist. Ein solcher Verstoß muss aber auf jeden Fall zuvor durch eine autorisierte Stelle genehmigt werden. Ausnahmegenehmigungen dürfen nur nach gründlicher Prüfung und in den seltensten Fällen erteilt werden. Anschließend muss eine schriftliche Begründung verfasst werden, die vom Verantwortlichen zu unterzeichnen ist.

Informationsfluss und Meldewege

Wichtig für die Aufrechterhaltung des Sicherheitsprozesses ist die Beschreibung und zeitnahe Aktualisierung der Meldewege und der Vorgehensweise für den Informationsfluss.

Dokumentationswesen

Es ist Aufgabe des IT-Sicherheitsbeauftragten bzw. des IS-Management-Teams, stets aktuelle und aussagekräftige Dokumentationen zur Informationssicherheit vorzuhalten. Für alle Dokumentationen im Rahmen des Sicherheitsprozesses sollte es daher eine geregelte Vorgehensweise geben. Dazu gehören z. B. folgende Punkte:

Bei der Pflege der Vielzahl sicherheitsrelevanter Dokumente kann ein Dokumentenmanagement hilfreich sein (siehe auch M 2.259 Einführung eines übergeordneten Dokumentenmanagements).

Dokumentationen müssen nicht immer in Papierform vorliegen. Das Dokumentationsmedium kann je nach Bedarf gewählt werden. Zur Dokumentation können Übersichtsdiagramme (z. B. Netzplan), kurze Sitzungsprotokolle (z. B. jährliche Sitzung der Geschäftsführung zur Diskussion der Sicherheitsstrategie), handschriftliche Notizen oder Software-Tools (z. B. zur Dokumentation des Sicherheitskonzepts) genutzt werden.

Prüffragen: