Grundschutz:Strukturanalyse: Unterschied zwischen den Versionen

Aus ISMS-Ratgeber WiKi
Zur Navigation springenZur Suche springen
KKeine Bearbeitungszusammenfassung
 
(6 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt)
Zeile 1: Zeile 1:
{{Entwurf}}
{{#seo:
{{#seo:
|title=Muster-Strukturanalyse nach Grundschutz++ – Rahmenwerk für Informationsverbund und ISMS‑Modellierung
|title=Muster-Strukturanalyse nach Grundschutz++
|keywords=Grundschutz++, GS++, Strukturanalyse, Informationsverbund, ISMS, Informationssicherheit, BSI, Asset‑Modellierung, Geschäftsprozesse, Risikobetrachtung, Sicherheitsorganisation, Compliance, OSCAL, IT‑Sicherheit, Sicherheitskonzept, Muster
|keywords=Grundschutz++, GS++, Strukturanalyse, Informationsverbund, ISMS, Informationssicherheit, BSI, Asset‑Modellierung, Geschäftsprozesse, Risikobetrachtung, Sicherheitsorganisation, Compliance, OSCAL, IT‑Sicherheit, Sicherheitskonzept, Muster
|description=Die Strukturanalyse nach Grundschutz++ bietet eine vollständige, praxisorientierte Dokumentationsstruktur für den Aufbau eines ISMS gemäß der GS++‑Methodik. Sie umfasst Kontextanalyse, Stakeholder, Geschäftsprozesse, Asset‑Modellierung, Anforderungen und Risikobetrachtung und dient als zentrales Referenzdokument für Informationsverbünde.
|description=Die Strukturanalyse nach Grundschutz++ bietet eine vollständige, praxisorientierte Dokumentationsstruktur für den Aufbau eines ISMS gemäß der GS++‑Methodik. Sie umfasst Kontextanalyse, Stakeholder, Geschäftsprozesse, Asset‑Modellierung, Anforderungen und Risikobetrachtung und dient als zentrales Referenzdokument für Informationsverbünde.
}}{{SHORTDESC:Mustervorlage einer IT-Strukturanalyse nach Grundschutz++}}
}}{{SHORTDESC:Mustervorlage einer IT-Strukturanalyse nach Grundschutz++}}{{DISPLAYTITLE:GS++ Muster Strukturanalyse}}
 
''Die Strukturanalyse nach Grundschutz++ beschreibt den organisatorischen, fachlichen und technischen Rahmen eines Informationsverbundes. Sie konsolidiert alle relevanten Informationen zu Kontext, Prozessen, Assets und Anforderungen und dient als zentrales Referenzdokument für Umsetzung, Audits und kontinuierliche Verbesserung.''
''Die '''Strukturanalyse''' nach '''Grundschutz++''' beschreibt den organisatorischen, fachlichen und technischen Rahmen eines Informationsverbundes. Sie konsolidiert alle relevanten Informationen zu Kontext, Prozessen, Assets und Anforderungen und dient als zentrales Referenzdokument für Umsetzung, Audits und kontinuierliche Verbesserung.''


== Einleitung ==
== Einleitung ==
Die Strukturanalyse nach Grundschutz++ beschreibt den organisatorischen, fachlichen und technischen Rahmen eines Informationsverbundes und bildet die Grundlage für ein systematisches ISMS nach der GS++‑Methodik. Sie verbindet die Ergebnisse aus Erhebung & Planung (Prozessschritt 1) mit der Anforderungsanalyse (Prozessschritt 2) und stellt alle relevanten Informationen zu Kontext, Stakeholdern, Geschäftsprozessen, Assets und Anforderungen strukturiert dar. Das Dokument dient als zentrales Referenzwerk für Modellierung, Umsetzung, Überwachung und kontinuierliche Verbesserung des ISMS. Es schafft Transparenz, Nachvollziehbarkeit und eine konsistente Basis für Audits, Risikoanalysen und die spätere technische Umsetzung.
Die Strukturanalyse nach Grundschutz++ bildet die Grundlage für ein systematisches ISMS gemäß der GS++‑Methodik. Sie verbindet die Ergebnisse aus Erhebung und Planung (Prozessschritt 1) mit der Anforderungsanalyse (Prozessschritt 2) und stellt alle relevanten Informationen zu Kontext, Stakeholdern, Geschäftsprozessen, Assets und Anforderungen strukturiert dar. Das Dokument dient als zentrales Referenzwerk für Modellierung, Umsetzung, Überwachung und kontinuierliche Verbesserung des ISMS. Es schafft Transparenz, Nachvollziehbarkeit und eine konsistente Basis für Audits, Risikoanalysen und die spätere technische Umsetzung.


== Geltungsbereich ==
== Geltungsbereich ==
Zeile 19: Zeile 17:


=== Definition des Geltungsbereichs ===
=== Definition des Geltungsbereichs ===
Im Folgenden werden der Informationsverbund und seine Abgrenzung innerhalb der Organisation beschrieben.
Im Folgenden wird das ISMS und seine Abgrenzung innerhalb der Organisation beschrieben. Der Geltungsbereich definiert den organisatorischen Rahmen des ISMS und grenzt ihn eindeutig gegenüber anderen Bereichen ab.
 
==== Beschreibung des Informationsverbunds ====
''Kurze Beschreibung des Informationsverbunds: Was zeichnet ihn aus, welchen Zweck erfüllt er, welche Anwendungen bedient er, welche Nutzergruppen bedient er ...''


==== Eingliederung des Informationsverbunds ====
==== Beschreibung des ISMS ====
''Es ist darzustellen, wie der Informationsverbund innerhalb der Organisation aufgebaut ist (organisationsübergreifender Verbund oder Verbund innerhalb einer Abteilung).''
''Kurze Beschreibung des ISMS.''


=== Abgrenzung des Informationsverbunds ===
==== Eingliederung in die Organisation ====
''Beschreibung der Grenzen des Informationsverbunds sowie der Bereiche außerhalb des Verbunds.''
''Es ist darzustellen, wie das ISMS innerhalb der Organisation aufgebaut ist (organisationsübergreifendes ISMS oder ISMS innerhalb eines Gecshäftsbereichs).''


''Beispiel:''
=== Abgrenzung des ISMS ===
 
''Beschreibung der Grenzen des ISMS sowie der Bereiche außerhalb des ISMS.''
* '''Entwicklungs-, Test- und Freigabesysteme''': Komponenten, die ausschließlich der Entwicklung, dem Test und der Freigabe dienen, werden abgegrenzt.
* '''Client-Systeme der Benutzer''': Alle nicht-administrativen Client-Systeme werden über einen Frontend-Server abgegrenzt.
* '''Netzinfrastruktur außerhalb der Organisation''': Alle Netze außerhalb des Informationsverbundes (Internet, Fremdnetze, Bürokommunikationsnetze) sind über ein Security-Gateway abgegrenzt.
* '''Gebäudeinfrastruktur für extern betriebenes Rechenzentrum''': Das Rechenzentrum des Dienstleisters, in dem der Informationsverbund betrieben wird, ist selbst nach BSI IT-Grundschutz zertifiziert. Der Schutzbedarf entspricht dem des Informationsverbundes. Damit ist der Rechenzentrumsbetrieb abgegrenzt.
* '''Reine Bürokommunikationssysteme''' wie Telefonie, Drucker, Smartphones und Tablets sind abgegrenzt.
* …


''Für abgegrenzte Bereiche muss die Grenze zum Informationsverbund sowie der Übergang und dessen Absicherung beschrieben sein.''
''Für abgegrenzte Bereiche muss die Grenze zum ISMS der Übergang und dessen Anbindung beschrieben sein.''


''Werden elementare Bestandteile des Informationsverbunds (z.B. ein angemietetes externes Rechenzentrum) abgegrenzt, muss beschrieben sein, wie sichergestellt wird, dass diese Teile dem festgestellten Schutzbedarf des Informationsverbunds in gleichem Maße entsprechen (z.B. in Form einer eigenen Zertifizierung, vertraglicher Regelungen und eigener Audits dieser Teile).''
''Werden elementare Bestandteile (z.B. ein angemietetes externes Rechenzentrum) abgegrenzt, muss beschrieben sein, wie sichergestellt wird, dass diese Teile dem festgestellten Schutzbedarf der Organisation in gleichem Maße entsprechen (z.B. Zertifizierung, vertragliche Regelungen, eigene Audits).''


=== Betrachtete Standorte ===
=== Betrachtete Standorte ===
* Physische Standorte
* Physische Standorte
* Remote-Arbeitsplätze
* Remote-Arbeitsplätze
* Rechenzentren
* Rechenzentren


== Kontext der Organisation ==
== Kontext der Organisation ==
Das folgende Kapitel beschreibt den Kontext der Organisation gemäß Prozessschritt 1 Erhebung und Planung (Governance/Compliance) der Methodik zum Grundschutz++.
Das folgende Kapitel beschreibt den Kontext der Organisation gemäß Prozessschritt 1 (Erhebung und Planung) der GS++‑Methodik.


=== Beschreibung der Organisation ===
=== Beschreibung der Organisation ===
Zeile 58: Zeile 47:


=== Geschäftsfeld ===
=== Geschäftsfeld ===
''Beschreibung des Tätigkeitsbereichs der Organisation (Was macht die Organisation wo ist ihr Kerngeschäft?)''
''Beschreibung des Tätigkeitsbereichs der Organisation (Was macht die Organisation, wo ist ihr Kerngeschäft?)''


=== Organisationsplan ===
=== Organisationsplan ===
''Darstellung des Geschäftsverteilungsplans der Organisation (Organigramm)''
''Darstellung des Geschäftsverteilungsplans der Organisation (Organigramm).''


=== Managementrahmen des ISMS ===
=== Managementrahmen des ISMS ===
''Ziele, IS-Leitlinien, IS-Strategie, Verantwortlichkeiten, Dokumentationsprinzipien, KVP.''
''Ziele, IS-Leitlinien, IS-Strategie, Verantwortlichkeiten, Dokumentationsprinzipien, kontinuierliche Verbesserung.''


=== Layer- und Werkzeugkonzept ===
=== Layer- und Werkzeugkonzept ===
Zeile 70: Zeile 59:


== Interessierte Parteien (PS 1) ==
== Interessierte Parteien (PS 1) ==
Das folgende Kapitel beschreibt die Interessierten Parteien gemäß Prozessschritt 1 Erhebung und Planung (Governance/Compliance) der Methodik zum Grundschutz++.
Das folgende Kapitel beschreibt die interessierten Parteien gemäß Prozessschritt 1 (Erhebung und Planung) der GS++‑Methodik.


=== Identifizierte interessierte Parteien ===
=== Identifizierte interessierte Parteien ===
Ein ISMS muss nicht nur auf Vorschriften reagieren, sondern auch auf die '''Erwartungen''' derjenigen, die von Informationssicherheit betroffen sind oder ein '''berechtigtes Interesse''' daran haben.
Ein ISMS muss nicht nur auf Vorschriften reagieren, sondern auch auf die Erwartungen derjenigen, die von Informationssicherheit betroffen sind oder ein berechtigtes Interesse daran haben.


Liste der identifizierten interessierten Parteien:
Liste der identifizierten interessierten Parteien:
{| class="wikitable"
{| class="wikitable"
!<small>Interessierte Partei</small>
!Interessierte Partei
!<small>Typ</small>
!Typ
!<small>Rolle / Beschreibung</small>
!Rolle / Beschreibung
!<small>Erwartungen an Informationssicherheit</small>
!Erwartungen an Informationssicherheit
!<small>Relevanz</small>
!Relevanz
!<small>Verbindliche Verpflichtung</small>
!Verbindliche Verpflichtung
!<small>Konsequenz für ISMS</small>
!Konsequenz für ISMS
!<small>Rechtsgrundlage / Quelle</small>
!Rechtsgrundlage / Quelle
!<small>Betroffene Prozesse</small>
!Betroffene Prozesse
!<small>Verantwortliche Rolle</small>
!Verantwortliche Rolle
|-
|''<small>Wer ist die Partei?</small>''
|''<small>intern/extern</small>''
|''<small>Warum ist sie relevant?</small>''
|''<small>Was erwartet sie konkret?</small>''
|''<small>Einfluss auf ISMS</small>''
|''<small>Ja/Nein</small>''
|''<small>Welche Anforderungen entstehen?</small>''
|''<small>Gesetz, Vertrag, Richtlinie</small>''
|''<small>Welche Prozesse sind betroffen?</small>''
|''<small>Wer kümmert sich?</small>''
|-
|-
|''Beispiele:''
|Wer ist die Partei?
|
|intern/extern
|
|Warum ist sie relevant?
|
|Was erwartet sie konkret?
|
|Einfluss auf ISMS
|
|Ja/Nein
|
|Welche Anforderungen entstehen?
|
|Gesetz, Vertrag, Richtlinie
|
|Welche Prozesse sind betroffen?
|
|Wer kümmert sich?
|-
|-
|Datenschutz-Aufsichtsbehörde
|Datenschutz-Aufsichtsbehörde
Zeile 144: Zeile 122:
|-
|-
|...
|...
|
|...
|
|...
|
|...
|
|...
|
|...
|
|...
|
|...
|
|...
|
|...
|}
|}


Zeile 165: Zeile 143:


== Compliance-Rahmen (PS 1) ==
== Compliance-Rahmen (PS 1) ==
Das folgende Kapitel beschreibt den Compliance-Rahmen der Organisation gemäß Prozessschritt 1 Erhebung und Planung (Governance/Compliance) der Methodik zum Grundschutz++. Dabei unterscheiden wir:
Das folgende Kapitel beschreibt den Compliance-Rahmen der Organisation gemäß Prozessschritt 1 (Erhebung und Planung) der GS++‑Methodik. Dabei unterscheiden wir:
 
'''Gesetzliche Verpflichtungen:'''


'''Gesetzliche Verpflichtungen:''' 
DSGVO, HGB, branchenspezifische Vorgaben.
DSGVO, HGB, branchenspezifische Vorgaben.


''Mögliche rechtliche, regulatorische Rahmenbedingungen sind im Artikel [[Rechtsgrundlagen]] aufgelistet.''
''Mögliche rechtliche, regulatorische Rahmenbedingungen sind im Artikel [[Rechtsgrundlagen]] aufgelistet.''


'''Vertragliche Verpflichtungen:'''
'''Vertragliche Verpflichtungen:'''
 
SLAs, NDAs, Kundenanforderungen.
SLAs, NDAs, Kundenanforderungen.


'''Interne Vorgaben:'''
'''Interne Vorgaben:'''
Richtlinien, Policies, Betriebsvereinbarungen.


Richtlinien, Policies, Betriebsvereinbarungen.
Liste der rechtlichen, vertraglichen und internen Vorgaben:
Liste der rechlichen, vertraglichen und internen Vorgaben:
{| class="wikitable"
{| class="wikitable"
!Quelle
!Quelle
Zeile 188: Zeile 164:
|-
|-
|Gesetz
|Gesetz
|'''DSGVO''' (EU‑Datenschutz‑Grundverordnung, z.B. Art. 5, 25, 32)
|DSGVO (z. B. Art. 5, 25, 32)
|Verarbeitung personenbezogener Daten in Fachverfahren, Portalen, Logs
|Verarbeitung personenbezogener Daten
|Vorgibt Schutzziele und technische/organisatorische Maßnahmen für Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit; fließt in Schutzbedarf, Praktiken (z.B. Berechtigungsmanagement, Logging) und ergänzende Anforderungen ein.
|Vorgibt Schutzziele und technische/organisatorische Maßnahmen; fließt in Schutzbedarf, Praktiken und ergänzende Anforderungen ein.
|-
|-
|Vertrag
|Vertrag
|'''Auftragsverarbeitungsvertrag (AVV) nach DSGVO Art. 28'''
|Auftragsverarbeitungsvertrag (AVV) nach DSGVO Art. 28
|Outsourcing von IT‑Betrieb, Cloud‑Dienste
|Outsourcing von IT‑Betrieb, Cloud‑Diensten
|Definiert technische und organisatorische Maßnahmen, Audit‑ und Informationsrechte; Anforderungen sind als externe Verpflichtungen in das Anforderungspaket zu übernehmen.
|Definiert technische und organisatorische Maßnahmen, Audit‑ und Informationsrechte; Anforderungen sind als externe Verpflichtungen zu übernehmen.
|-
|-
|Vertrag
|Vertrag
|'''Service Level Agreement (SLA)''' mit Verfügbarkeitszielen
|Service Level Agreement (SLA)
|Betrieb von Fachanwendungen, Rechenzentrum
|Betrieb von Fachanwendungen, Rechenzentrum
|Erhöht Anforderungen an Verfügbarkeit und Wiederanlauf; kann zu höherem Schutzbedarf und strengeren Maßnahmen in den Praktiken (Backup, Notfallmanagement) führen.
|Erhöht Anforderungen an Verfügbarkeit und Wiederanlauf; kann zu höherem Schutzbedarf und strengeren Maßnahmen führen.
|-
|-
|Intern
|Intern
|'''Informationssicherheitsleitlinie'''
|Informationssicherheitsleitlinie
|gesamte Institution
|gesamte Organisation
|Setzt interne Mindestanforderungen (z.B. „alle sicherheitsrelevanten Änderungen sind zu dokumentieren“); bildet Grundlage für ISMS‑Anforderungen (Governance, Rollen, Dokumentation).
|Setzt interne Mindestanforderungen; bildet Grundlage für Governance, Rollen und Dokumentation.
|-
|-
|...
|...
Zeile 214: Zeile 190:


== Sicherheitsorganisation (PS 1) ==
== Sicherheitsorganisation (PS 1) ==
Das folgende Kapitel beschreibt den den Aufbau der Sicherheitsorganisation im ISMS der Organisation gemäß Prozessschritt 1 Erhebung und Planung (Governance/Compliance) der Methodik zum Grundschutz++.
Das folgende Kapitel beschreibt den Aufbau der Sicherheitsorganisation im ISMS der Organisation gemäß Prozessschritt 1 der GS++‑Methodik.


=== Rollen und Verantwortlichkeiten ===
=== Rollen und Verantwortlichkeiten ===
Zeile 220: Zeile 196:


==== Organisationsleitung ====
==== Organisationsleitung ====
Die Leitung der Organisation trägt die Gesamtverantwortung für die Informationssicherheit der Organisation und hat klare Ziele für die Informationssicherheit definiert. Diese Leitlinien bilden die Grundlage für alle Maßnahmen im Informationsverbund. Die übergreifenden Aufgaben der Leitung bestehen im Wesentlichen darin:
Die Leitung der Organisation trägt die Gesamtverantwortung für die Informationssicherheit und hat klare Ziele definiert. Aufgaben:


* Festlegung von messbaren Sicherheitszielen
* Festlegung von messbaren Sicherheitszielen
* Verantwortlichkeiten zu delegieren
* Delegation von Verantwortlichkeiten
* Ressourcen bereitzustellen
* Bereitstellung von Ressourcen
* Sicherheitskultur in der Organisation zu fördern
* Förderung der Sicherheitskultur
* Bewertung der Risiken für die Organisation
* Bewertung der Risiken
* Compliance und Rechenschaftspflicht erfüllen
* Sicherstellung von Compliance
* Überwachung und Bewertung der Zielerreichung
* Überwachung der Zielerreichung


==== Informationssicherheitsbeauftragter ====
==== Informationssicherheitsbeauftragter ====
Die Organisation hat einen Informationssicherheitsbeauftragten (ISB) ernannt.
Der Informationssicherheitsbeauftragte (ISB) ist für den Aufbau und die Koordination des ISMS verantwortlich und untersteht direkt der Organisationsleitung.
 
Der Informationssicherheitsbeauftragte ist für den Aufbau und die Koordination des ISMS verantwortlich und untersteht als Stabsstelle direkt der Organisationsleitung.
 
Seine Aufgaben sind u.a.:


* Berichterstattung und Beratung der Leitung zu Belangen der Informationssicherheit
Aufgaben u. a.:
* Koordination der Schulungen und Sensibilisierung der Mitarbeitenden zur Informationssicherheit
* Entwicklung und Fortschreibung der Sicherheitskonzeption der Organisation
* Begleitung und Auswertung von Sicherheitsvorfällen
* Begleitung der Einführung neuer Verfahren und Anwendungen


Der ISB verfügt über die zur Erfüllung seiner Aufgaben notwendigen Kenntnisse und Ressourcen.
* Beratung der Leitung 
* Koordination von Schulungen 
* Weiterentwicklung der Sicherheitskonzeption 
* Begleitung von Sicherheitsvorfällen 
* Begleitung neuer Verfahren und Anwendungen 


==== Datenschutzbeauftragter ====
==== Datenschutzbeauftragter ====
Die Organisation hat einen Datenschutzbeauftragten (DSB) bestellt. Der DSB ist in die Entwicklung des Informationsverbundes eingebunden und bearbeitet alle Fragen des Datenschutzes in einem eigenen DSMS.
Der Datenschutzbeauftragte (DSB) ist in die Entwicklung des Informationsverbundes eingebunden und bearbeitet alle Fragen des Datenschutzes.
 
==== weitere Verantwortliche ====
''Ggf. weitere Verantwortlich und ihre Rollen für die Informationssicherheit im Informationsverbund z.B:''


* ''Fach- und Verfahrensverantwortliche''
==== Weitere Verantwortliche ====
* ''Leitung IT-Betrieb / Rechenzentrum''
* Fach- und Verfahrensverantwortliche
* ''Notffallbeauftragter''
* Leitung IT‑Betrieb / Rechenzentrum
* ''...''
* Notfallbeauftragter 
* ...


=== Entscheidungswege ===
=== Entscheidungswege ===
Zeile 266: Zeile 236:


=== Vorgehensweise zur Anwendung von GS++ und Freigabe ===
=== Vorgehensweise zur Anwendung von GS++ und Freigabe ===
Die Organisation betreibt ihr Informationssicherheits-Managementsystem (ISMS) gemäß BSI Grundschutz++.
Beschreibung des Vorgehensmodells, Iterationslogik, Freigabe durch die Leitung.


''Beschreibung des Vorgehensmodells, Iterationslogik, Freigabe durch die Leitung.''
== Informationssicherheitseinstufung (PS 1) ==
== Informationssicherheitseinstufung (PS 1) ==
Das folgende Kapitel beschreibt die Informationssicherheitseinstufung der relevanten Geschäftsprozesse der Organisation gemäß Prozessschritt 1 Erhebung und Planung (Governance/Compliance) der Methodik zum Grundschutz++.
Das folgende Kapitel beschreibt die Informationssicherheitseinstufung der relevanten Geschäftsprozesse der Organisation gemäß Prozessschritt 1 Erhebung und Planung (Governance/Compliance) der Methodik zum Grundschutz++.


=== Identifizierte Geschäftsprozesse ===
''(Siehe Aritkel zur [[Geschäftsprozesse|Geschäftsprozessen]] und [[Grundschutz:Informationssicherheitseinstufung|Informationssicherheitseinstufung]])''
Ein Geschäftsprozess ist eine systematische Abfolge von Aktivitäten, um ein bestimmtes Geschäftsziel zu erreichen. Die relevanten Geschäftsprozesse des Informationsverbunds sind im folgenden aufgeführt.
 
=== Identifizierte Geschäftsprozesse der Oganisation ===
Ein Geschäftsprozess ist eine systematische Abfolge von Aktivitäten, um ein bestimmtes Geschäftsziel zu erreichen.


==== Kernprozesse ====
==== Kernprozesse ====
Zeile 284: Zeile 255:
!Verantwortlich
!Verantwortlich
|-
|-
|''KP-1''
|KP-1
|''Beispiel''
|Beispiel
|''Beispiel''
|Beispiel
|''Beispiel''
|Beispiel
|-
|-
|''KP-2''
|KP-2
|''Beispiel''
|Beispiel
|''Beispiel''
|Beispiel
|''Beispiel''
|Beispiel
|}
|}


Zeile 304: Zeile 275:
!Verantwortlich
!Verantwortlich
|-
|-
|''HP-1''
|HP-1
|''Beispiel''
|Beispiel
|''Beispiel''
|Beispiel
|''Beispiel''
|Beispiel
|}
|}


Zeile 320: Zeile 291:
!Gesamt
!Gesamt
|-
|-
|''KP-1''
|KP-1
|''normal''
|normal
|''normal''
|normal
|''normal''
|normal
|'''''normal'''''
|normal
|-
|-
|''KP-2''
|KP-2
|''hoch''
|hoch
|''normal''
|normal
|''normal''
|normal
|'''''hoch'''''
|hoch
|-
|-
|''HP-1''
|HP-1
|''normal''
|normal
|''normal''
|normal
|''hoch''
|hoch
|'''''hoch'''''
|hoch
|}
|}


=== Priorisierung ===
=== Priorisierung ===
Aufgrund eines hohen Sichereitsniveaus, werden die Prozesse ''KP-2 und HP-1'' priorisiert behandelt.
Aufgrund eines hohen Sicherheitsniveaus werden die Prozesse KP‑2 und HP‑1 priorisiert behandelt.


=== Überprüfung des gesetzten Sicherheitsniveaus ===
=== Überprüfung des gesetzten Sicherheitsniveaus ===
''Verfahren und Kriterien zur regelmäßigen Überprüfung der Angemessenheit.''
''Verfahren und Kriterien zur regelmäßigen Überprüfung der Angemessenheit.''
== 7. Informationsverbund (PS 2) ==


=== 7.1 Definition des Informationsverbunds ===
== Informationsverbund (PS 2) ==
Fachliche und organisatorische Einheit.
=== Definition des Informationsverbunds ===
Im Folgenden werden der Informationsverbund und seine Abgrenzung innerhalb der Organisation beschrieben. Der Geltungsbereich definiert den organisatorischen Rahmen des ISMS und grenzt ihn eindeutig gegenüber anderen Bereichen ab.


=== 7.2 Eingliederung in die Organisation ===
==== Beschreibung des Informationsverbunds ====
Einbettung in die Gesamtorganisation.
''Kurze Beschreibung des Informationsverbunds: Was zeichnet ihn aus, welchen Zweck erfüllt er, welche Anwendungen bedient er, welche Nutzergruppen bedient er ...''


=== 7.3 Abhängigkeiten ===
==== Eingliederung in die Organisation ====
Interne und externe Abhängigkeiten.
''Es ist darzustellen, wie der Informationsverbund innerhalb der Organisation aufgebaut ist (organisationsübergreifender Verbund oder Verbund innerhalb einer Abteilung).''


=== Abgrenzung des Informationsverbunds ===
''Beschreibung der Grenzen des Informationsverbunds sowie der Bereiche außerhalb des Verbunds.''


''Beispiel:''
* '''Entwicklungs-, Test- und Freigabesysteme''': Komponenten, die ausschließlich der Entwicklung, dem Test und der Freigabe dienen, werden abgegrenzt.
* '''Client-Systeme der Benutzer''': Alle nicht-administrativen Client-Systeme werden über einen Frontend-Server abgegrenzt.
* '''Netzinfrastruktur außerhalb der Organisation''': Alle Netze außerhalb des Informationsverbundes (Internet, Fremdnetze, Bürokommunikationsnetze) sind über ein Security-Gateway abgegrenzt.
* '''Gebäudeinfrastruktur für extern betriebenes Rechenzentrum''': Das Rechenzentrum des Dienstleisters, in dem der Informationsverbund betrieben wird, ist selbst nach BSI IT-Grundschutz zertifiziert. Der Schutzbedarf entspricht dem des Informationsverbundes. Damit ist der Rechenzentrumsbetrieb abgegrenzt.
* '''Reine Bürokommunikationssysteme''' wie Telefonie, Drucker, Smartphones und Tablets sind abgegrenzt.
* …


== 8. Geschäftsprozesse (PS 2) ==
''Für abgegrenzte Bereiche muss die Grenze zum Informationsverbund sowie der Übergang und dessen Absicherung beschrieben sein.''


=== 8.1 Kernprozesse ===
''Werden elementare Bestandteile des Informationsverbunds (z. B. ein angemietetes externes Rechenzentrum) abgegrenzt, muss beschrieben sein, wie sichergestellt wird, dass diese Teile dem festgestellten Schutzbedarf des Informationsverbunds in gleichem Maße entsprechen (z. B. Zertifizierung, vertragliche Regelungen, eigene Audits).''
Beschreibung, Ziele, Abhängigkeiten.


=== 8.2 Unterstützungsprozesse ===
=== Abhängigkeiten ===
IT-Betrieb, HR, Einkauf etc.
''Interne und externe Abhängigkeiten des IV.''


=== 8.3 Schutzbedarf / Sicherheitsniveau ===
== Geschäftsprozesse des IV (PS 2) ==
Ergebnis der Einstufung.
Hier werden '''die für den Informationsverbund relevanten''' Geschäftsprozesse aufgelistet.


=== Kernprozesse ===
''Beschreibung, Ziele, Abhängigkeiten.''


=== Unterstützungsprozesse ===
''IT‑Betrieb, HR, Einkauf etc.''


== 9. Asset-Modellierung (PS 2) ==
=== Schutzbedarf / Sicherheitsniveau ===
''Ergebnis der Einstufung.''


=== 9.1 Erfasste Assets ===
== Asset-Modellierung (PS 2) ==
Informationen, Anwendungen, Systeme, Räume, Rollen, Dienste.
=== Erfasste Assets ===
''Informationen, Anwendungen, Systeme, Räume, Rollen, Dienste (Verweis auf Anlagen).''


=== 9.2 Zuordnung zu Zielobjektkategorien ===
=== Gruppierung der Assets ===
Gemäß GS++ Abschnitt 3.4.2.
''Wie werden die Assets sinnvoll gruppiert (zusammen gefasst) um die Komplexität zu redizieren?''


=== 9.3 Vererbung von Zielobjektkategorien ===
=== Zuordnung zu Zielobjektkategorien ===
Gemäß GS++ Abschnitt 3.5.1.
''Gemäß GS++ Abschnitt 3.4.2.''


=== 9.4 Assets ohne Anforderungen ===
=== Vererbung von Zielobjektkategorien ===
Identifikation anforderungsloser Assets und Begründung.
''Gemäß GS++ Abschnitt 3.5.1.''


=== Assets ohne Anforderungen ===
''Identifikation anforderungsloser Assets und Begründung.''


== Anforderungen (PS 2) ==
=== Ableitung aus Praktiken ===
''Welche Praktiken sind relevant.''


== 10. Anforderungen (PS 2) ==
=== Zuordnung zu Zielobjektkategorien ===
''Welche Anforderungen gelten für welche Assets.''


=== 10.1 Ableitung aus Praktiken ===
=== Konsolidierung ===
Welche Praktiken sind relevant.
''Redundanzprüfung, Zusammenführung''.


=== 10.2 Zuordnung zu Zielobjekten ===
=== Ergänzende Anforderungen ===
Welche Anforderungen gelten für welche Assets.
* ''Aufgrund anforderungsloser Assets''
 
* ''Aufgrund externer Verpflichtungen''
=== 10.3 Konsolidierung ===
Redundanzprüfung, Zusammenführung.
 
=== 10.4 Ergänzende Anforderungen ===
* Aufgrund anforderungsloser Assets
* Aufgrund externer Verpflichtungen
 
=== 10.5 Gestaltungsentscheidungen (Parameter) ===
Gestaltungsentscheidungen konkretisieren die generischen GS++-Anforderungen für die Institution.
Sie legen fest, wie Anforderungen organisatorisch, technisch und prozessual umgesetzt werden sollen.
Dazu gehören Rollen, Werte, Fristen, Verfahren und technische Parameter, die für Umsetzung,
Überwachung und Auditierbarkeit notwendig sind. Die folgenden Parameter stellen die institutionenspezifischen
Festlegungen dar, die im Rahmen der Anforderungsanalyse getroffen wurden.


=== Gestaltungsentscheidungen (Parameter) ===
Gestaltungsentscheidungen konkretisieren die generischen GS++-Anforderungen für die Institution. Sie legen fest, wie Anforderungen organisatorisch, technisch und prozessual umgesetzt werden sollen. Dazu gehören Rollen, Werte, Fristen, Verfahren und technische Parameter, die für Umsetzung, Überwachung und Auditierbarkeit notwendig sind. Die folgenden Parameter stellen die institutionenspezifischen Festlegungen dar, die im Rahmen der Anforderungsanalyse getroffen wurden.
{| class="wikitable"
{| class="wikitable"
! Parameter !! Beschreibung !! Zugehörige Anforderung(en) !! Verantwortliche Rolle !! Wert / Entscheidung
! Parameter !! Beschreibung !! Zugehörige Anforderung(en) !! Verantwortliche Rolle !! Wert / Entscheidung
Zeile 422: Zeile 402:
|}
|}


=== 10.6 Verteilung der führenden Zuständigkeiten ===
=== Verteilung der führenden Zuständigkeiten ===
Zuordnung führender Verantwortlichkeiten zu Praktiken, Zielobjektkategorien und wesentlichen Anforderungen.
''Zuordnung führender Verantwortlichkeiten zu Praktiken, Zielobjektkategorien und wesentlichen Anforderungen.''
 
=== Wirksamkeitsprüfung der Anforderungen ===
''Verfahren, Kriterien und Dokumentation zur Prüfung der Wirksamkeit.''


=== 10.7 Wirksamkeitsprüfung der Anforderungen ===
== Risikomanagement und Risikobetrachtung (PS 2) ==
Verfahren, Kriterien und Dokumentation zur Prüfung der Wirksamkeit.
=== Risikomanagement-Rahmen ===
''Bewertungsmethode, Risikokriterien, Risikokategorien, Rollen, Umgang mit Restrisiken.''


=== Identifizierte Risiken ===
''Risiken aus Anforderungen, Prozessen, Assets.''


=== Bewertung ===
''Eintrittswahrscheinlichkeit, Auswirkung.''


== 11. Risikomanagement und Risikobetrachtung (PS 2) ==
=== Risikobehandlung ===
''Akzeptieren, reduzieren, vermeiden, übertragen.''


=== 11.1 Risikomanagement-Rahmen ===
=== Auslöser für Risikobetrachtungen ===
Bewertungsmethode, Risikokriterien, Risikokategorien, Rollen, Umgang mit Restrisiken.
Gemäß GS++ erforderlich bei:
* hohem Schutzbedarf 
* Herabstufung von Schutzbedarf 
* Nicht‑Umsetzung von Anforderungen 
* ergänzenden Anforderungen 
* wesentlichen Änderungen 
* neuen Bedrohungen oder Schwachstellen 


=== 11.2 Identifizierte Risiken ===
== Infrastruktur (optional) ==
Risiken aus Anforderungen, Prozessen, Assets.
=== Netzplan ===
''Übersicht der Netzsegmente.''


=== 11.3 Bewertung ===
=== Komponentenlisten ===
Eintrittswahrscheinlichkeit, Auswirkung.
''Server, Clients, Netzwerkgeräte.''


=== 11.4 Risikobehandlung ===
=== Technische Räume ===
Akzeptieren, reduzieren, vermeiden, übertragen.
''Rechenzentren, Serverräume.''


== Dienstleister / Zulieferer ==
=== Externe Dienstleister ===
''Cloud, Hosting, Support.''


=== Sicherheitsrelevante Abhängigkeiten ===
''Welche Anforderungen gelten.''


== 12. Infrastruktur (optional) ==
== Schnittstellen zu anderen Managementsystemen ==
=== Datenschutz-Management ===
''Abstimmung mit Datenschutzanforderungen und -prozessen.''


=== 12.1 Netzplan ===
=== Business Continuity / Notfallmanagement ===
Übersicht der Netzsegmente.
''Schnittstellen zu BCM/Notfallkonzepten.''


=== 12.2 Komponentenlisten ===
=== Qualitätsmanagement und IT-Service-Management ===
Server, Clients, Netzwerkgeräte.
''Abhängigkeiten und gemeinsame Prozesse.''


=== 12.3 Technische Räume ===
=== Audit- und Compliance-Management ===
Rechenzentren, Serverräume.
''Verzahnung mit internen und externen Audits sowie Compliance-Prozessen.''


== Überwachung und Validierung (PS 4) ==
=== Leistungsbewertung des ISMS ===
''Regelmäßige Bewertung der Zielerreichung, Kennzahlen, Wirksamkeit der Maßnahmen.''


=== Überwachung der Compliance ===
''Überprüfung der Einhaltung gesetzlicher, vertraglicher und interner Vorgaben''.


== 13. Dienstleister / Zulieferer ==
=== Auditprogramm und -durchführung ===
''Planung, Durchführung, Dokumentation interner und externer Audits.''


=== 13.1 Externe Dienstleister ===
=== Bewertungsschema und Auditberichte ===
Cloud, Hosting, Support.
''Bewertungskriterien, Dokumentationsanforderungen.''


=== 13.2 Sicherheitsrelevante Abhängigkeiten ===
=== Validierung der Anforderungen ===
Welche Anforderungen gelten.
''Prüfung, ob Anforderungen weiterhin gültig, angemessen und vollständig sind.''


== Kontinuierliche Verbesserung (PS 5) ==
=== Umgang mit Nicht-Konformitäten ===
''Dokumentation, Analyse und Behandlung von Abweichungen vom definierten ISMS, von Anforderungen oder von internen Vorgaben. Festlegung von Verantwortlichkeiten, Fristen und Nachverfolgung der Maßnahmen.''


=== Identifikation von Verbesserungspotenzialen ===
''Erkenntnisse aus Audits, Monitoring, Sicherheitsvorfällen, Meldungen aus der Organisation, Lessons Learned und Änderungen im Kontext (z. B. neue Bedrohungen, neue regulatorische Anforderungen).''


== 14. Schnittstellen zu anderen Managementsystemen ==
=== Korrektur- und Verbesserungsvorschläge ===
''Erstellung, Bewertung und Priorisierung von Vorschlägen zur Beseitigung von Schwachstellen und zur Verbesserung der Wirksamkeit des ISMS und der umgesetzten Maßnahmen.''


=== 14.1 Datenschutz-Management ===
=== Korrektur- und Verbesserungsplanung ===
Abstimmung mit Datenschutzanforderungen und -prozessen.
''Planung der Umsetzung von Korrektur- und Verbesserungsmaßnahmen, inklusive Verantwortlichkeiten, Ressourcen, Fristen und Erfolgskriterien.''


=== 14.2 Business Continuity / Notfallmanagement ===
=== Wirksamkeitsprüfung ===
Schnittstellen zu BCM/Notfallkonzepten.
''Überprüfung, ob umgesetzte Maßnahmen die beabsichtigte Wirkung erzielt haben und ob Nicht-Konformitäten nachhaltig behoben wurden.''


=== 14.3 Qualitätsmanagement und IT-Service-Management ===
=== Bewertung der erreichten Verbesserung ===
Abhängigkeiten und gemeinsame Prozesse.
''Dokumentation der Ergebnisse, Bewertung des erreichten Verbesserungsniveaus und Ableitung weiterer Schritte im Rahmen des kontinuierlichen Verbesserungsprozesses.''


=== 14.4 Audit- und Compliance-Management ===
=== Behandlung von Compliance-Verstößen ===
Verzahnung mit internen und externen Audits sowie Compliance-Prozessen.
''Verfahren zur Erkennung, Bewertung, Eskalation und Behandlung von Verstößen gegen gesetzliche, vertragliche oder interne Vorgaben. Dokumentation, Ursachenanalyse und Ableitung von Maßnahmen zur Vermeidung zukünftiger Verstöße.''


== PDCA-Einbettung ==
Die Strukturanalyse ist Teil des kontinuierlichen Verbesserungsprozesses und wird regelmäßig aktualisiert.


* PLAN: Prozessschritt 1 (Erhebung und Planung) und Prozessschritt 2 (Anforderungsanalyse)
* DO: Prozessschritt 3 (Realisierung)
* CHECK: Prozessschritt 4 (Überwachung)
* ACT: Prozessschritt 5 (kontinuierliche Verbesserung)


== 15. Anlagen ==
== Vorgehensweise zur Anwendung von GS++ und Freigabe ==
Die Organisation betreibt ihr Informationssicherheits-Managementsystem (ISMS) gemäß BSI Grundschutz++.
 
Beschreibung des Vorgehensmodells, der Iterationslogik und der Anwendung der GS++-Methodik auf den Informationsverbund. Die Strukturanalyse und die darauf aufbauenden Dokumente werden durch die Leitung der Organisation freigegeben. Änderungen an der Strukturanalyse folgen einem definierten Änderungs- und Freigabeprozess.
 
== Anlagen ==
* Organigramm
* Organigramm
* Prozesslandkarte
* Prozesslandkarte
Zeile 492: Zeile 518:
* Anforderungspaket
* Anforderungspaket
* Risikoanalyse-Matrix
* Risikoanalyse-Matrix


[[Kategorie:Mustervorlage]]
[[Kategorie:Mustervorlage]]
[[Kategorie:Betriebskonzept]]
[[Kategorie:Betriebskonzept]]
[[Kategorie:Grundschutz]]
[[Kategorie:++]]

Aktuelle Version vom 5. Mai 2026, 15:50 Uhr

Die Strukturanalyse nach Grundschutz++ beschreibt den organisatorischen, fachlichen und technischen Rahmen eines Informationsverbundes. Sie konsolidiert alle relevanten Informationen zu Kontext, Prozessen, Assets und Anforderungen und dient als zentrales Referenzdokument für Umsetzung, Audits und kontinuierliche Verbesserung.

Einleitung

Die Strukturanalyse nach Grundschutz++ bildet die Grundlage für ein systematisches ISMS gemäß der GS++‑Methodik. Sie verbindet die Ergebnisse aus Erhebung und Planung (Prozessschritt 1) mit der Anforderungsanalyse (Prozessschritt 2) und stellt alle relevanten Informationen zu Kontext, Stakeholdern, Geschäftsprozessen, Assets und Anforderungen strukturiert dar. Das Dokument dient als zentrales Referenzwerk für Modellierung, Umsetzung, Überwachung und kontinuierliche Verbesserung des ISMS. Es schafft Transparenz, Nachvollziehbarkeit und eine konsistente Basis für Audits, Risikoanalysen und die spätere technische Umsetzung.

Geltungsbereich

Die Organisation betreibt ihr Informationssicherheits-Managementsystem (ISMS) gemäß BSI Grundschutz++.

Die beschriebenen Regelungen sind für alle Mitarbeitenden und Dienstleistenden verbindlich, die im Rahmen des ISMS für die Organisation tätig sind.

Diese Strukturanalyse gilt für den im Titel genannten, im Folgenden beschriebenen und abgegrenzten Informationsverbund der Organisation.

Definition des Geltungsbereichs

Im Folgenden wird das ISMS und seine Abgrenzung innerhalb der Organisation beschrieben. Der Geltungsbereich definiert den organisatorischen Rahmen des ISMS und grenzt ihn eindeutig gegenüber anderen Bereichen ab.

Beschreibung des ISMS

Kurze Beschreibung des ISMS.

Eingliederung in die Organisation

Es ist darzustellen, wie das ISMS innerhalb der Organisation aufgebaut ist (organisationsübergreifendes ISMS oder ISMS innerhalb eines Gecshäftsbereichs).

Abgrenzung des ISMS

Beschreibung der Grenzen des ISMS sowie der Bereiche außerhalb des ISMS.

Für abgegrenzte Bereiche muss die Grenze zum ISMS der Übergang und dessen Anbindung beschrieben sein.

Werden elementare Bestandteile (z.B. ein angemietetes externes Rechenzentrum) abgegrenzt, muss beschrieben sein, wie sichergestellt wird, dass diese Teile dem festgestellten Schutzbedarf der Organisation in gleichem Maße entsprechen (z.B. Zertifizierung, vertragliche Regelungen, eigene Audits).

Betrachtete Standorte

  • Physische Standorte
  • Remote-Arbeitsplätze
  • Rechenzentren

Kontext der Organisation

Das folgende Kapitel beschreibt den Kontext der Organisation gemäß Prozessschritt 1 (Erhebung und Planung) der GS++‑Methodik.

Beschreibung der Organisation

Beschreibung der Organisation und ihrer Ziele.

Rechtliche Rahmenbedingungen

Kurze Darstellung der wesentlichen rechtlichen Rahmenbedingungen der Organisation (Konkretisierung im Kapitel Compliance).

Geschäftsfeld

Beschreibung des Tätigkeitsbereichs der Organisation (Was macht die Organisation, wo ist ihr Kerngeschäft?)

Organisationsplan

Darstellung des Geschäftsverteilungsplans der Organisation (Organigramm).

Managementrahmen des ISMS

Ziele, IS-Leitlinien, IS-Strategie, Verantwortlichkeiten, Dokumentationsprinzipien, kontinuierliche Verbesserung.

Layer- und Werkzeugkonzept

Eingesetzte GS++-Layer (Basis, Technik, Beispiel, Audit) und verwendete Tools.

Interessierte Parteien (PS 1)

Das folgende Kapitel beschreibt die interessierten Parteien gemäß Prozessschritt 1 (Erhebung und Planung) der GS++‑Methodik.

Identifizierte interessierte Parteien

Ein ISMS muss nicht nur auf Vorschriften reagieren, sondern auch auf die Erwartungen derjenigen, die von Informationssicherheit betroffen sind oder ein berechtigtes Interesse daran haben.

Liste der identifizierten interessierten Parteien:

Interessierte Partei Typ Rolle / Beschreibung Erwartungen an Informationssicherheit Relevanz Verbindliche Verpflichtung Konsequenz für ISMS Rechtsgrundlage / Quelle Betroffene Prozesse Verantwortliche Rolle
Wer ist die Partei? intern/extern Warum ist sie relevant? Was erwartet sie konkret? Einfluss auf ISMS Ja/Nein Welche Anforderungen entstehen? Gesetz, Vertrag, Richtlinie Welche Prozesse sind betroffen? Wer kümmert sich?
Datenschutz-Aufsichtsbehörde extern Regulatorische Überwachung DSGVO‑Konformität, Nachweise, Meldepflichten hoch Ja Datenschutzanforderungen, TOMs, Meldeprozesse DSGVO, BDSG Datenverarbeitung, HR, IT‑Betrieb Datenschutzbeauftragte
Kunden / Auftraggeber extern Empfänger von Dienstleistungen Verfügbarkeit, Integrität, SLA‑Einhaltung mittel Ja SLA‑Monitoring, Incident‑Reporting Vertrag, SLA Service‑Prozesse, Support Service Owner
Mitarbeitende intern Nutzung von Systemen, Verarbeitung von Daten Klare Regeln, sichere Systeme, Schulungen mittel Ja Awareness‑Programm, Zugriffsregeln Arbeitsvertrag, interne Richtlinien Alle operativen Prozesse ISB / HR
... ... ... ... ... ... ... ... ... ...

Erwartungen und Anforderungen

Erwartungen an Verfügbarkeit, Vertraulichkeit, Integrität, Nachweise, Reaktionszeiten.

Bewertung der Relevanz

Priorisierung gemäß GS++.

Verbindliche Verpflichtungen

Welche Erwartungen werden ins ISMS übernommen.

Compliance-Rahmen (PS 1)

Das folgende Kapitel beschreibt den Compliance-Rahmen der Organisation gemäß Prozessschritt 1 (Erhebung und Planung) der GS++‑Methodik. Dabei unterscheiden wir:

Gesetzliche Verpflichtungen: DSGVO, HGB, branchenspezifische Vorgaben.

Mögliche rechtliche, regulatorische Rahmenbedingungen sind im Artikel Rechtsgrundlagen aufgelistet.

Vertragliche Verpflichtungen: SLAs, NDAs, Kundenanforderungen.

Interne Vorgaben: Richtlinien, Policies, Betriebsvereinbarungen.

Liste der rechtlichen, vertraglichen und internen Vorgaben:

Quelle Referenz Betroffener Bereich Relevanz für ISMS / IV
Gesetz DSGVO (z. B. Art. 5, 25, 32) Verarbeitung personenbezogener Daten Vorgibt Schutzziele und technische/organisatorische Maßnahmen; fließt in Schutzbedarf, Praktiken und ergänzende Anforderungen ein.
Vertrag Auftragsverarbeitungsvertrag (AVV) nach DSGVO Art. 28 Outsourcing von IT‑Betrieb, Cloud‑Diensten Definiert technische und organisatorische Maßnahmen, Audit‑ und Informationsrechte; Anforderungen sind als externe Verpflichtungen zu übernehmen.
Vertrag Service Level Agreement (SLA) Betrieb von Fachanwendungen, Rechenzentrum Erhöht Anforderungen an Verfügbarkeit und Wiederanlauf; kann zu höherem Schutzbedarf und strengeren Maßnahmen führen.
Intern Informationssicherheitsleitlinie gesamte Organisation Setzt interne Mindestanforderungen; bildet Grundlage für Governance, Rollen und Dokumentation.
... ... ... ...

Sicherheitsorganisation (PS 1)

Das folgende Kapitel beschreibt den Aufbau der Sicherheitsorganisation im ISMS der Organisation gemäß Prozessschritt 1 der GS++‑Methodik.

Rollen und Verantwortlichkeiten

In der Organisation sind folgende Verantwortliche als Teil der Sicherheitsorganisation benannt:

Organisationsleitung

Die Leitung der Organisation trägt die Gesamtverantwortung für die Informationssicherheit und hat klare Ziele definiert. Aufgaben:

  • Festlegung von messbaren Sicherheitszielen
  • Delegation von Verantwortlichkeiten
  • Bereitstellung von Ressourcen
  • Förderung der Sicherheitskultur
  • Bewertung der Risiken
  • Sicherstellung von Compliance
  • Überwachung der Zielerreichung

Informationssicherheitsbeauftragter

Der Informationssicherheitsbeauftragte (ISB) ist für den Aufbau und die Koordination des ISMS verantwortlich und untersteht direkt der Organisationsleitung.

Aufgaben u. a.:

  • Beratung der Leitung
  • Koordination von Schulungen
  • Weiterentwicklung der Sicherheitskonzeption
  • Begleitung von Sicherheitsvorfällen
  • Begleitung neuer Verfahren und Anwendungen

Datenschutzbeauftragter

Der Datenschutzbeauftragte (DSB) ist in die Entwicklung des Informationsverbundes eingebunden und bearbeitet alle Fragen des Datenschutzes.

Weitere Verantwortliche

  • Fach- und Verfahrensverantwortliche
  • Leitung IT‑Betrieb / Rechenzentrum
  • Notfallbeauftragter
  • ...

Entscheidungswege

Freigaben, Eskalationen, Reporting.

Kommunikationswege

Wie wird Informationssicherheit in der Organisation kommuniziert.

Dokumentation und Ablage des ISMS

Dokumentationsform, Ablageorte, Versionierung, Zugriffsregelungen.

Vorgehensweise zur Anwendung von GS++ und Freigabe

Beschreibung des Vorgehensmodells, Iterationslogik, Freigabe durch die Leitung.

Informationssicherheitseinstufung (PS 1)

Das folgende Kapitel beschreibt die Informationssicherheitseinstufung der relevanten Geschäftsprozesse der Organisation gemäß Prozessschritt 1 Erhebung und Planung (Governance/Compliance) der Methodik zum Grundschutz++.

(Siehe Aritkel zur Geschäftsprozessen und Informationssicherheitseinstufung)

Identifizierte Geschäftsprozesse der Oganisation

Ein Geschäftsprozess ist eine systematische Abfolge von Aktivitäten, um ein bestimmtes Geschäftsziel zu erreichen.

Kernprozesse

Kernprozesse sind die zentralen Prozesse der Organisation, die direkt zur Wertschöpfung beitragen und damit essentiell für das Kerngeschäft sind. Sie stellen die Haupttätigkeiten dar, die die Organisation ausführen muss, um seine Produkte oder Dienstleistungen zu erstellen oder bereitzustellen.

Tabelle der Kernprozesse
Kürzel Prozessname Beschreibung Verantwortlich
KP-1 Beispiel Beispiel Beispiel
KP-2 Beispiel Beispiel Beispiel

Hilfsprozesse

Hilfsprozesse, oder auch Supportprozesse genannt, sind Prozesse, die nicht direkt zur Wertschöpfung beitragen, sondern die Organisation in seiner Tätigkeit unterstützen und optimieren sollen. Sie stellen damit eine indirekte Unterstützung des Kerngeschäfts dar.

Tabelle der Hilfsprozesse
Kürzel Prozessname Beschreibung Verantwortlich
HP-1 Beispiel Beispiel Beispiel

Kritikalität / Sicherheitsniveau

Eine angemessene Bestimmung des Sicherheitsniveaus ist wichtig, um die Ressourcen der Organisation effektiv zu nutzen und sicherzustellen, dass die Schutzmaßnahmen den Bedrohungen und Risiken angemessen sind. Das folgende Sicherheitsniveau wurde im Rahmen einer Informationssicherheitseinstufung (siehe Anlage A2) für die genannten Geschäftsprozesse ermittelt:

Tabelle des Sicherheitsniveaus
Prozess Vertraulichkeit Integrität Verfügbarkeit Gesamt
KP-1 normal normal normal normal
KP-2 hoch normal normal hoch
HP-1 normal normal hoch hoch

Priorisierung

Aufgrund eines hohen Sicherheitsniveaus werden die Prozesse KP‑2 und HP‑1 priorisiert behandelt.

Überprüfung des gesetzten Sicherheitsniveaus

Verfahren und Kriterien zur regelmäßigen Überprüfung der Angemessenheit.

Informationsverbund (PS 2)

Definition des Informationsverbunds

Im Folgenden werden der Informationsverbund und seine Abgrenzung innerhalb der Organisation beschrieben. Der Geltungsbereich definiert den organisatorischen Rahmen des ISMS und grenzt ihn eindeutig gegenüber anderen Bereichen ab.

Beschreibung des Informationsverbunds

Kurze Beschreibung des Informationsverbunds: Was zeichnet ihn aus, welchen Zweck erfüllt er, welche Anwendungen bedient er, welche Nutzergruppen bedient er ...

Eingliederung in die Organisation

Es ist darzustellen, wie der Informationsverbund innerhalb der Organisation aufgebaut ist (organisationsübergreifender Verbund oder Verbund innerhalb einer Abteilung).

Abgrenzung des Informationsverbunds

Beschreibung der Grenzen des Informationsverbunds sowie der Bereiche außerhalb des Verbunds.

Beispiel:

  • Entwicklungs-, Test- und Freigabesysteme: Komponenten, die ausschließlich der Entwicklung, dem Test und der Freigabe dienen, werden abgegrenzt.
  • Client-Systeme der Benutzer: Alle nicht-administrativen Client-Systeme werden über einen Frontend-Server abgegrenzt.
  • Netzinfrastruktur außerhalb der Organisation: Alle Netze außerhalb des Informationsverbundes (Internet, Fremdnetze, Bürokommunikationsnetze) sind über ein Security-Gateway abgegrenzt.
  • Gebäudeinfrastruktur für extern betriebenes Rechenzentrum: Das Rechenzentrum des Dienstleisters, in dem der Informationsverbund betrieben wird, ist selbst nach BSI IT-Grundschutz zertifiziert. Der Schutzbedarf entspricht dem des Informationsverbundes. Damit ist der Rechenzentrumsbetrieb abgegrenzt.
  • Reine Bürokommunikationssysteme wie Telefonie, Drucker, Smartphones und Tablets sind abgegrenzt.

Für abgegrenzte Bereiche muss die Grenze zum Informationsverbund sowie der Übergang und dessen Absicherung beschrieben sein.

Werden elementare Bestandteile des Informationsverbunds (z. B. ein angemietetes externes Rechenzentrum) abgegrenzt, muss beschrieben sein, wie sichergestellt wird, dass diese Teile dem festgestellten Schutzbedarf des Informationsverbunds in gleichem Maße entsprechen (z. B. Zertifizierung, vertragliche Regelungen, eigene Audits).

Abhängigkeiten

Interne und externe Abhängigkeiten des IV.

Geschäftsprozesse des IV (PS 2)

Hier werden die für den Informationsverbund relevanten Geschäftsprozesse aufgelistet.

Kernprozesse

Beschreibung, Ziele, Abhängigkeiten.

Unterstützungsprozesse

IT‑Betrieb, HR, Einkauf etc.

Schutzbedarf / Sicherheitsniveau

Ergebnis der Einstufung.

Asset-Modellierung (PS 2)

Erfasste Assets

Informationen, Anwendungen, Systeme, Räume, Rollen, Dienste (Verweis auf Anlagen).

Gruppierung der Assets

Wie werden die Assets sinnvoll gruppiert (zusammen gefasst) um die Komplexität zu redizieren?

Zuordnung zu Zielobjektkategorien

Gemäß GS++ Abschnitt 3.4.2.

Vererbung von Zielobjektkategorien

Gemäß GS++ Abschnitt 3.5.1.

Assets ohne Anforderungen

Identifikation anforderungsloser Assets und Begründung.

Anforderungen (PS 2)

Ableitung aus Praktiken

Welche Praktiken sind relevant.

Zuordnung zu Zielobjektkategorien

Welche Anforderungen gelten für welche Assets.

Konsolidierung

Redundanzprüfung, Zusammenführung.

Ergänzende Anforderungen

  • Aufgrund anforderungsloser Assets
  • Aufgrund externer Verpflichtungen

Gestaltungsentscheidungen (Parameter)

Gestaltungsentscheidungen konkretisieren die generischen GS++-Anforderungen für die Institution. Sie legen fest, wie Anforderungen organisatorisch, technisch und prozessual umgesetzt werden sollen. Dazu gehören Rollen, Werte, Fristen, Verfahren und technische Parameter, die für Umsetzung, Überwachung und Auditierbarkeit notwendig sind. Die folgenden Parameter stellen die institutionenspezifischen Festlegungen dar, die im Rahmen der Anforderungsanalyse getroffen wurden.

Parameter Beschreibung Zugehörige Anforderung(en) Verantwortliche Rolle Wert / Entscheidung
Passwortlänge Mindestanforderung an Authentisierung PRA-XXX IT-Betrieb 14 Zeichen
Backup-Frequenz Intervall für Datensicherungen OPS-ZZZ IT-Betrieb täglich, 02:00 Uhr
Löschfristen Aufbewahrungs- und Löschregeln DSGVO, LOG-ABC Datenschutz 6 Monate
Logging-Level Umfang der Protokollierung MON-123 IT-Security „Security-relevant“
Rollenmodell Verantwortlichkeiten im ISMS GOV-001 ISB ISB, IT-Leitung, Prozessowner

Verteilung der führenden Zuständigkeiten

Zuordnung führender Verantwortlichkeiten zu Praktiken, Zielobjektkategorien und wesentlichen Anforderungen.

Wirksamkeitsprüfung der Anforderungen

Verfahren, Kriterien und Dokumentation zur Prüfung der Wirksamkeit.

Risikomanagement und Risikobetrachtung (PS 2)

Risikomanagement-Rahmen

Bewertungsmethode, Risikokriterien, Risikokategorien, Rollen, Umgang mit Restrisiken.

Identifizierte Risiken

Risiken aus Anforderungen, Prozessen, Assets.

Bewertung

Eintrittswahrscheinlichkeit, Auswirkung.

Risikobehandlung

Akzeptieren, reduzieren, vermeiden, übertragen.

Auslöser für Risikobetrachtungen

Gemäß GS++ erforderlich bei:

  • hohem Schutzbedarf
  • Herabstufung von Schutzbedarf
  • Nicht‑Umsetzung von Anforderungen
  • ergänzenden Anforderungen
  • wesentlichen Änderungen
  • neuen Bedrohungen oder Schwachstellen

Infrastruktur (optional)

Netzplan

Übersicht der Netzsegmente.

Komponentenlisten

Server, Clients, Netzwerkgeräte.

Technische Räume

Rechenzentren, Serverräume.

Dienstleister / Zulieferer

Externe Dienstleister

Cloud, Hosting, Support.

Sicherheitsrelevante Abhängigkeiten

Welche Anforderungen gelten.

Schnittstellen zu anderen Managementsystemen

Datenschutz-Management

Abstimmung mit Datenschutzanforderungen und -prozessen.

Business Continuity / Notfallmanagement

Schnittstellen zu BCM/Notfallkonzepten.

Qualitätsmanagement und IT-Service-Management

Abhängigkeiten und gemeinsame Prozesse.

Audit- und Compliance-Management

Verzahnung mit internen und externen Audits sowie Compliance-Prozessen.

Überwachung und Validierung (PS 4)

Leistungsbewertung des ISMS

Regelmäßige Bewertung der Zielerreichung, Kennzahlen, Wirksamkeit der Maßnahmen.

Überwachung der Compliance

Überprüfung der Einhaltung gesetzlicher, vertraglicher und interner Vorgaben.

Auditprogramm und -durchführung

Planung, Durchführung, Dokumentation interner und externer Audits.

Bewertungsschema und Auditberichte

Bewertungskriterien, Dokumentationsanforderungen.

Validierung der Anforderungen

Prüfung, ob Anforderungen weiterhin gültig, angemessen und vollständig sind.

Kontinuierliche Verbesserung (PS 5)

Umgang mit Nicht-Konformitäten

Dokumentation, Analyse und Behandlung von Abweichungen vom definierten ISMS, von Anforderungen oder von internen Vorgaben. Festlegung von Verantwortlichkeiten, Fristen und Nachverfolgung der Maßnahmen.

Identifikation von Verbesserungspotenzialen

Erkenntnisse aus Audits, Monitoring, Sicherheitsvorfällen, Meldungen aus der Organisation, Lessons Learned und Änderungen im Kontext (z. B. neue Bedrohungen, neue regulatorische Anforderungen).

Korrektur- und Verbesserungsvorschläge

Erstellung, Bewertung und Priorisierung von Vorschlägen zur Beseitigung von Schwachstellen und zur Verbesserung der Wirksamkeit des ISMS und der umgesetzten Maßnahmen.

Korrektur- und Verbesserungsplanung

Planung der Umsetzung von Korrektur- und Verbesserungsmaßnahmen, inklusive Verantwortlichkeiten, Ressourcen, Fristen und Erfolgskriterien.

Wirksamkeitsprüfung

Überprüfung, ob umgesetzte Maßnahmen die beabsichtigte Wirkung erzielt haben und ob Nicht-Konformitäten nachhaltig behoben wurden.

Bewertung der erreichten Verbesserung

Dokumentation der Ergebnisse, Bewertung des erreichten Verbesserungsniveaus und Ableitung weiterer Schritte im Rahmen des kontinuierlichen Verbesserungsprozesses.

Behandlung von Compliance-Verstößen

Verfahren zur Erkennung, Bewertung, Eskalation und Behandlung von Verstößen gegen gesetzliche, vertragliche oder interne Vorgaben. Dokumentation, Ursachenanalyse und Ableitung von Maßnahmen zur Vermeidung zukünftiger Verstöße.

PDCA-Einbettung

Die Strukturanalyse ist Teil des kontinuierlichen Verbesserungsprozesses und wird regelmäßig aktualisiert.

  • PLAN: Prozessschritt 1 (Erhebung und Planung) und Prozessschritt 2 (Anforderungsanalyse)
  • DO: Prozessschritt 3 (Realisierung)
  • CHECK: Prozessschritt 4 (Überwachung)
  • ACT: Prozessschritt 5 (kontinuierliche Verbesserung)

Vorgehensweise zur Anwendung von GS++ und Freigabe

Die Organisation betreibt ihr Informationssicherheits-Managementsystem (ISMS) gemäß BSI Grundschutz++.

Beschreibung des Vorgehensmodells, der Iterationslogik und der Anwendung der GS++-Methodik auf den Informationsverbund. Die Strukturanalyse und die darauf aufbauenden Dokumente werden durch die Leitung der Organisation freigegeben. Änderungen an der Strukturanalyse folgen einem definierten Änderungs- und Freigabeprozess.

Anlagen

  • Organigramm
  • Prozesslandkarte
  • Asset-Listen
  • Zielobjektkategorien
  • Anforderungspaket
  • Risikoanalyse-Matrix
Abgerufen von „https://wiki.isms-ratgeber.info/index.php?title=Grundschutz:Strukturanalyse&oldid=2343