Einführung ISMS-Betrieb
Der ISMS-Betrieb in grcproxy umfasst alle Aktivitäten zur systematischen Umsetzung, Dokumentation und Überprüfung von Informationssicherheitsmaßnahmen. Die Grundlage bildet das BSI IT-Grundschutz-Kompendium nach BSI-Standard 200-2.
Weitere Informationen zum Bausteinkatalog: Maßnahmen- und Bausteinkatalog
Voraussetzungen
Der ISMS-Betrieb setzt eine abgeschlossene erste Revision der Strukturanalyse voraus. Erst nach Erstellung dieser Revision sind alle Ressourcen des Informationsverbunds in einem definierten, versionierten Stand verfügbar.
Auf Basis dieser Revision werden:
- Ressourcen in den ISMS-Betrieb übernommen
- passende IT-Grundschutz-Bausteine automatisch zugeordnet (Auto-Modelling)
- Maßnahmen und Gefährdungen aus dem Bausteinkatalog abgeleitet
- der initiale IT-Grundschutz-Check bereitgestellt
Grundlagen des Betriebs
Der ISMS-Betrieb nutzt die in der Strukturanalyse erfassten Ressourcen und deren Typen und Zusatzattribute als Eingabe für die automatische Modellierung.
Automatische Bausteinzuordnung
Jeder Ressource werden automatisch die passenden IT-Grundschutz-Bausteine zugeordnet. Die Zuordnung basiert auf dem Ressourcentyp (z. B. Server, Anwendung, Netzkomponente) und konfigurierten Zusatzattributen. Über individuelle Modellierungseinstellungen kann die automatische Zuordnung je Asset angepasst werden.
Maßnahmenklassifizierung
Die aus den Bausteinen abgeleiteten Maßnahmen sind in drei Klassen unterteilt:
| Klasse | Bedeutung |
|---|---|
| Basismaßnahmen | Grundlegende Schutzmaßnahmen, für alle Assets verpflichtend |
| Standardmaßnahmen | Erweiterte Anforderungen für erhöhten Schutzbedarf |
| Erweiterte Maßnahmen | Für Assets mit hohem oder sehr hohem Schutzbedarf |
Schutzzielableitung
Die Schutzziele (Vertraulichkeit, Integrität, Verfügbarkeit) werden automatisch aus der Schutzbedarfsanalyse der Strukturanalyse übernommen. Eine manuelle Anpassung je Asset ist möglich.
Betriebszyklus
Der ISMS-Betrieb folgt einem strukturierten, iterativen Ablauf:
- Dokumentation des IST-Zustands: Aktuellen Umsetzungsstand aller Maßnahmen erfassen
- Umsetzung: Nicht oder unzureichend umgesetzte Maßnahmen planen und umsetzen
- Review: Nach Ablauf des Review-Intervalls (typisch 1 Jahr) erneute Prüfung aller Maßnahmen
- Anpassung: Auf Basis der Review-Ergebnisse Folgemaßnahmen ableiten und einplanen
Dieser Zyklus entspricht dem PDCA-Prinzip und stellt sicher, dass der Umsetzungsstand regelmäßig hinterfragt und verbessert wird.
Inhalte dieses Kapitels
-
Maßnahmen- und Bausteinkatalog
BSI IT-Grundschutz-Kompendium, automatische Zuordnung und Maßnahmenklassen -
IT-Grundschutz-Check
Basis- und Standard-Check, IST-Dokumentation, Umsetzungs- und Review-Workflow -
Revisionen im ISMS-Betrieb
Versionierung des Informationsverbunds und Historisierung von Umsetzungsständen