Direkt zum Hauptinhalt

Überblick / Grundlagen

Im Rahmen dieses Leitfadens werden sinnvolle und bewährte technische und organisatorische Maßnahmen zur Sicherstellung der Informationssicherheit beschrieben, die den Empfehlungen des BSI-Grundschutzes (BSI - IT-Grundschutz-Kompendium) bzw. der ISO27001 (ISO/IEC 27001 - Anforderungen an Informationssicherheits-Managementsysteme) folgen. Die Maßnahmen sind dabei entsprechend den Grundsätzen der Informationssicherheit in folgende Bereiche gegliedert:

  • Maßnahmen zur Sicherstellung der Verfügbarkeit von Daten
  • Maßnahmen zur Sicherstellung der Integrität (Korrektheit) der Daten
  • Maßnahmen zur Sicherstellung der Vertraulichkeit der Daten

Die Auswahl, Planung und Umsetzung der Maßnahmen zur Informationssicherheit sollte auf Basis einer strukturierten Risikobeurteilung erfolgen. Bewährte Methoden für die Durchführung derartiger Risikobeurteilungen sind der BSI-Standard 200-3 (BSI-Standard 200-3) oder eine Risikoanalyse gem. ISO27001.

Um eine sinnvolle Anwendung der Maßnahmen dieses Leitfadens auch zu ermöglichen, wenn eine strukturierte Risikobeurteilung z. B. aufgrund des hohen Aufwands noch nicht erfolgt ist, sind die in diesem Leitfaden dargestellten Maßnahmen nach Notwendigkeit bzw. nach Schutzwirkung auf Basis der allgemeinen Gefährdungslage gegliedert und bewertet:

  • STARK EMPFOHLEN: stark empfohlene Basis-Maßnahmen für alle Organisationsgrößen
  • EMPFOHLEN: empfohlene Maßnahmen, sollten zumindest bei großen Organisationen umgesetzt werden
  • OPTIONAL: sinnvolle, ergänzende Maßnahmen zur Sicherstellung eines hohen Niveaus der Informationssicherheit

Die Maßnahmen zur Informationssicherheit werden in diesem Leitfaden nicht im Detail beschrieben, sondern sollen internen IT-Abteilungen, IT-Securityabteilungen bzw. externen IT-Dienstleistern die notwendigen Handlungsbereiche klar aufzeigen. Eine Detaillierung der Maßnahmen zugeschnitten auf die genutzte IT-Umgebung muss dann durch die internen IT-Abteilungen, IT-Securityabteilungen bzw. den externen IT-Dienstleister erfolgen.
Anmerkung: In der Initialversion sind nur die „STARK EMPFOHLENEN“-Maßnahmen näher beschrieben.

Nach der Einführung von Maßnahmen zur Informationssicherheit ist eine kontinuierliche Kontrolle, Steuerung, Koordination und Verbesserung dieser Maßnahmen erforderlich. Das kann im Rahmen eines strukturierten ISMS (Informations-Sicherheits-Management-Systems) oder durch die Berücksichtigung im allgemeinen Vorhabens- und Aufgabenmanagement der IT oder IT-Security erfolgen.

nach oben