Informationssicherheit ist eine wichtige Voraussetzung für die erfolgreiche Einführung von Digitalisierung, Industrie 4.0 oder IoT (Internet of Things) in der Wirtschaft und öffentlichen Verwaltung.
Gerade für Unternehmen, welche Produkte oder Dienstleistungen für die öffentliche Verwaltung anbieten, aber natürlich auch für öffentliche Verwaltungen oder Körperschaften des öffentlichen Rechts, empfiehlt sich der Einsatz des IT-Grundschutzes.
Im Gegensatz zur ISO/IEC 27001 besitzt der IT-Grundschutz ein standardisiertes Vorgehen, welches definiert ist und durch vorfertigte Bausteine aus dem IT-Grundschutz-Kompendium unterstützt wird.
Der IT-Grundschutz gliedert sich grundsätzlich in folgende Absicherungen:
- Basis-Absicherung – Einstieg in den IT-Grundschutz als breite und grundlegende Erstabsicherung (nur testiert durch das BSI)
- Kern-Absicherung – Einstieg in den IT-Grundschutz und Absicherung besonders gefährdeter Geschäftsprozesse und Assets (durch das BSI zertifizierbar)
- Standard-Absicherung – entspricht im Wesentlichen der klassischen Vorgehensweise und sollte das Ziel sein, (durch das BSI zertifizierbar)
Bei der Standardabsicherung wird wie folgt verfahren:
- Die Organisation legt den Geltungsbereich des ISMS fest (Organisation, Infrastruktur, IT-Systeme, Anwendungen, Mitarbeiter)
- Strukturanalyse – Analyse des Ist-Zustandes
- Schutzbedarfsfestellung – Bewertung jedes Assets oder der Assetgruppe nach Vertraulichkeit, Integrität und Verfügbarkeit jeweils nach Schutzbedarfskategorie (normal, hoch, sehr hoch)
- Modellierung – Auswahl der Sicherheitsanforderungen
- IT-Grundschutzs-Check Teil 1
- ggf. Risikoanalyse
- Konsolidierung
- IT-Grundschutz-Check Teil 2
- Realisierung der Maßnahmen
Nach der Realisierung der Maßnahmen springen wir im Rahmen der Aufrechterhaltung und kontinuierlichen Verbesserung des ISMS in den Punkt 2 zurück und durchlaufen die Schleife so laufend.
Der IT-Grundschutz verfolgt einen ganzheitlichen Ansatz zur Informationssicherheit. Neben technischen Aspekten werden auch infrastrukturelle, organisatorische und personelle Themen betrachtet. Er ermöglicht es, durch ein systematisches Vorgehen notwendige Sicherheitsmaßnahmen zu identifizieren und umzusetzen. Die BSI-Standards liefern hierzu bewährte Vorgehensweisen, dass IT-Grundschutz-Kompendium konkrete Anforderungen.
Mit einem ISO 27001-Zertifikat auf der Basis des IT-Grundschutzes kann die Organisation belegen, dass die umgesetzten Maßnahmen zur Informationssicherheit anerkannten internationalen Standards entsprechen.
Hierbei ist zu beachten, dass das Zertifikat ISO 27001 auf Basis des IT-Grundschutzes oft nicht international anerkannt ist.
Sprechen Sie uns für ein unverbindliches Erstgespräch an.