LF-Realisierungsplan

Aus ISMS-Ratgeber WiKi
Zur Navigation springenZur Suche springen

Mustervorlage: "Leitfaden für Erstellung eines Realisierungsplan/Risikobehandlungsplan"

Einleitung

Ein Realisierungsplan oder Risikobehandlungsplan beschreibt den Umgang mit nicht oder nur teilweise umgesetzten Maßnahmen bzw. die Behandlung identifizierter Risiken.

Ein gut strukturierter Realisierungsplan/Risikobehandlungsplan ist entscheidend für die effektive Umsetzung der Informationssicherheitsmaßnahmen und das Management von Risiken. Die Schritte von der Planung bis zur Evaluierung helfen dabei, einen systematischen und nachvollziehbaren Ansatz zu verfolgen, der den Anforderungen des BSI IT-Grundschutzes entspricht.

Da sich beide Pläne nur gerungfügig unterscheiden und das Vorgehen weitgehend gleich ist, werden Realisierungsplan und Risikobehandlungsplan hier gemeinsam beschrieben.

Zielsetzung

  • Risikominderung: Durch gezielte Maßnahmen sollen identifizierte Risiken reduziert oder eliminiert werden, um die Informationssicherheit zu erhöhen und potenzielle Schäden zu verhindern.
  • Ressourcenplanung und -nutzung: Der Plan ermöglicht eine effiziente Planung und Nutzung der verfügbaren Ressourcen (Personal, Budget, Zeit) zur Umsetzung der Sicherheitsmaßnahmen.
  • Verantwortlichkeiten klären: Klare Zuordnung von Verantwortlichkeiten für die Umsetzung der Maßnahmen stellt sicher, dass alle Beteiligten wissen, welche Aufgaben sie zu erfüllen haben.
  • Transparenz und Nachvollziehbarkeit: Durch die Dokumentation der Maßnahmen und deren Fortschritt wird die Umsetzung transparent und nachvollziehbar, was die Kontrolle und Berichterstattung erleichtert.
  • Kontinuierliche Verbesserung: Der Plan dient als Basis für die kontinuierliche Evaluierung und Verbesserung der Sicherheitsmaßnahmen, um auf neue Risiken und Veränderungen reagieren zu können.

Geltungsbereich

Dieser Leitfaden gilt für das Sicherheits- und Risikomanagement der Organisation und für die Erstellung aller Realisierungs- und Risikobehandlungspläne in der Organisation.

Vorbereitung und Planung

  • Risikobewertung durchführen: Identifiziere und bewerte die Risiken, basierend auf der Risikoanalyse.
  • Maßnahmen priorisieren: Bestimme, welche Risiken zuerst behandelt werden müssen, basierend auf ihrer Priorität und dem möglichen Schadensausmaß.
  • Ressourcenplanung: Ermittele die notwendigen Ressourcen (Personal, Budget, Zeit) für die Umsetzung der Maßnahmen.

Definition der Maßnahmen

  • Auswahl der Maßnahmen: Wähle geeignete Sicherheitsmaßnahmen aus dem BSI IT-Grundschutz-Kompendium oder entwickle spezifische Maßnahmen, um die identifizierten Risiken zu behandeln.
  • Zielobjekte zuordnen: Weise die Maßnahmen den entsprechenden Zielobjekten zu.
  • Festlegung von Verantwortlichkeiten: Bestimme, wer für die Umsetzung jeder Maßnahme verantwortlich ist.

Erstellung des Realisierungsplans

  • Dokumentation der Maßnahmen: Erfasse jede Maßnahme in einem strukturierten Format, das mindestens folgende Informationen enthält:
    • Risikobeschreibung: Kurze Beschreibung des zu behandelnden Risikos.
    • Maßnahme: Detaillierte Beschreibung der durchzuführenden Maßnahme.
    • Zielobjekt: Das betroffene Zielobjekt.
    • Verantwortliche Person: Wer für die Umsetzung verantwortlich ist.
    • Zeitplan/Zieltermin: Geplantes Start- und Enddatum der Maßnahme oder ein Zieltermin für die Umsetzung.
    • Ressourcen: Notwendige Ressourcen für die Umsetzung.
    • Status: Aktueller Status der Maßnahme (geplant, in Umsetzung, abgeschlossen).
  • Zeitplan erstellen: Entwickle einen Zeitplan für die Umsetzung der Maßnahmen, um eine koordinierte und termingerechte Durchführung sicherzustellen.

Umsetzung und Kontrolle

  • Maßnahmen umsetzen: Beginne mit der Umsetzung der geplanten Maßnahmen gemäß dem Zeitplan.
  • Fortschritt überwachen: Überwache regelmäßig den Fortschritt der Umsetzung und dokumentiere den aktuellen Status.
  • Kontrolle und Anpassung: Prüfe, ob die Maßnahmen die gewünschten Ergebnisse erzielen. Falls notwendig, passe den Plan und die Maßnahmen an.

Dokumentation und Kommunikation

  • Dokumentation aktualisieren: Halte alle Fortschritte, Änderungen und Ergebnisse in der Dokumentation fest.
  • Berichterstattung: Informiere relevante Stakeholder regelmäßig über den Fortschritt und die Ergebnisse der Maßnahmenumsetzung.
  • Schulung und Sensibilisierung: Stelle sicher, dass alle betroffenen Mitarbeitenden über die Maßnahmen informiert sind und verstehen, wie sie zur Risikobehandlung beitragen.

Evaluierung und Verbesserung

  • Ergebnisse bewerten: Nach Abschluss der Maßnahmen, bewerte deren Wirksamkeit und dokumentiere die Ergebnisse.
  • Lernprozesse etablieren: Nutze die gewonnenen Erkenntnisse, um zukünftige Realisierungspläne zu verbessern.
  • Kontinuierliche Verbesserung: Setze einen Prozess zur kontinuierlichen Verbesserung der Informationssicherheitsmaßnahmen auf.

Beispielstruktur eines Realisierungsplans/Risikobehandlungsplans

Hier ein Beispiel für einen Realisierungsplan/Risikobehandlungsplan. In größeren Informationsverbünden ist es sinnvoll getrennte Pläne zu erstellen, in kleinen oder neuen Verbünden können diese auch kombiniert werden, da die Vorgehensweise weitgehend identisch ist.

Der Inhalt der Spalten ist wie folgt zu auszufüllen:

Risiko

Im Risikobehandlungsplan (Beispieltabelle 1. Zeile) ist das Risiko aus der Risikoanalyse (nach ISO) oder die relevante erhöhte Gefährdung aus der Risikoanalyse (nach BSI Standard 200-3) anzugeben.

Im Realisierungplan (Beispieltabelle 2. Zeile) ist die Gefährdung aus der nicht (vollständig) umgesetzten Anforderung zu benennen. Diese Gefährdung kann aus der zum Baustein gehörenden Kreuzreferenztabelle entnommen werden.

Maßnahme

Hier sind die Maßnahmen aufzuführen, die zur Behandlung der Gefährdung vorgesehen sind. Die Maßnahme kann z.B. auch die Übernahme des Risikos sein.

Zielobjekt

Das Zielobjekt, auf das sich die Maßnahmen beziehen.

Verantwortlich

Person(en), die für die Umsetzung der Maßnahmen verantwortlich sind. Im Falle eines zu tragenden Risikos der Risikoträger.

Zieltermin

Zieltermin, bis zu dem die Maßnahmen umgesetzt werden sollen.

Ressourcen

Die geschätzten personellen und finanziellen Ressourcen die für die Umsetzung der Maßnahmen erforderlich sind.

Status

Status der Umsetzung.

Risiko Maßnahme Zielobjekt Verantwortlich Zieltermin Ressourcen Status
Beispielrisiko A
oder
Gefährdung G.x
Maßnahme X Zielobjekt 1 Fritz Fleissig 30.09.2224 5 PT, €1000 Geplant
Gefährdung G.x
aus SYS.1.1.A1
offene Maßnahme Y Zielobjekt 2 Elfriede Eifrig 31.10.2224 10 PT, €2000 In Umsetzung

Dies ist nur eine Beispieltabelle, die je nach Organisation und Bedarf angepasst werden muss, z.B. kann bei größeren Listen eine Spalte "Priorität" hilfreich sein, um die Umsetzung zu priorisieren, so dass die größten Risiken zuerst behandelt werden.

Der Realisierungsplan/Risikobehandlungsplan muss von der Organisationsleitung schriftlich genehmigt/beauftragt werden.