IT-Grundschutz beschreibt eine vom Bundesamt für Sicherheit in der Informationstechnik (BSI) entwickelte Vorgehensweise zur Identifikation und Umsetzung geeigneter IT-Sicherheitsmaßnahmen mit dem Ziel ein ausreichendes Schutzniveau der IT-Systeme zu gewährleisten.
Zum Erreichen dieses Ziels veröffentlichte das BSI die sog. IT-Grundschutz-Kataloge, die umfassende technische Sicherheitsmaßnahmen sowie infrastrukturelle, organisatorische und personelle Schutzmaßnahmen beinhalteten.
Im Jahr 2018 kam es zu einer grundlegenden Aktualisierung. Das BSI veröffentlichte mit seinen drei Standards 200-1 (Managementsysteme für Informationssicherheit), 200-2 (IT-Grundschutz-Methodik) und 200-3 (Risikoanalyse auf der Basis von IT-Grundschutz) die langersehnte Überarbeitung, der in die Jahre gekommenen 100er-Reihe. Auch die unübersichtlicheren IT-Grundschutz-Kataloge, die über die Jahre auf über 5000 Seiten angewachsen und so vor allem für KMU kaum noch umsetzbar waren, wurden durch das wesentlich kürzere und besser strukturierte IT-Grundschutz-Kompendium ersetzt.
Im modernisierten IT-Grundschutz unterscheidet das BSI nunmehr drei Schutzniveaus:
- Die Basis-Absicherung liefert einen breiten, jedoch nicht tiefgehenden Schutz relevanter IT-Assets.
- Die Kern-Absicherung fokussiert sich auf die sogenannten „Kronjuwelen“ einer Organisation mit besonderem Schutzbedarf. Weniger wichtige Systeme werden hier außen vor gelassen, sodass man von einer schmalen, gleichzeitig aber sehr tiefen Absicherung spricht.
- Die Standard-Absicherung kombiniert beide vorgenannten Varianten.
Vorteile eines ISMS nach der Vorgehensweise BSI IT-Grundschutz:
- Das BSI IT-Grundschutzkompendium unterscheidet drei Sicherheitsniveaus, je nach Schutzbedarf Ihrer Unternehmensinformationen.
- Umfang der Maßnahmen orientiert sich an dem angestrebten Sicherheitsniveau.
- Vollständige Kompatibilität zu ISO 27001
- Sinnvolle Anwendung auch ohne Zertifizierung möglich
- Unternehmensrisiken werden identifiziert und verstanden
- Allgemein erhöhtes Sicherheitsbewusstsein im Unternehmen
- Informationssicherheit wird integraler Bestandteil der Geschäftsprozesse
- Informationssicherheit im Unternehmen wird messbar
- Reduziert das Haftungsrisiko der verantwortlichen Führungskräfte
- Wettbewerbsvorteil durch Zertifizierung als Nachweis der Informationssicherheit
Unterstützung bei Umsetzung / GAP-Analyse
Sie wollen ein ISMS nach ISO 27001 auf Basis von BSI IT-Grundschutz einführen? Unsere TÜV-zertifizierten IT-Security-Beauftragten und -Manager unterstützen Sie gerne bei der normkonformen Einführung, Betrieb und Verbesserung Ihres ISMS.
Für die Einführung eines ISMS orientieren wir uns stets an den individuellen Begebenheiten und Anforderungen Ihres Unternehmens. Wir empfehlen dringend den Einsatz einer Software, unterstützen Sie aber auch bei einer rein dokumentenbasierten Umsetzung des ISMS.
Durchführung eines internen Audits
Sie haben bereits ein ISMS nach ISO 27001 auf Basis von BSI IT-Grundschutz in Betrieb? Gerne führen wir dann auch einen internen Audit Ihrer Prozesse durch und bestätigen Ihnen die normkonforme Umsetzung oder zeigen Ihnen an welchen Stellen Sie nachjustieren müssen.
Bei einem internen Audit wird die normkonforme Umsetzung der Prozesse und Systeme eines Unternehmens geprüft. Die Durchführung des internen Audits kann durch qualifizierte interne Auditoren des Unternehmens oder aber externe Partner, wie uns, stattfinden. Es handelt sich im Prinzip um eine (Selbst-)Prüfung des eigenen Managementsystems zu eigenen Zwecken mit dem Ziel Nichtkonformitäten aufzudecken. Als Ergebnis des internen Audits erhalten Sie einen aussagekräftigen Auditbericht.
Wird eine erstmalige Zertifizierung angestrebt, ist die Durchführung eines internen Voraudits empfehlenswert. Ein solches Voraudit dient als Generalprobe vor dem eigentlichen Zertifizierungsaudits. Im Rahmen einer Re-Zertifizierung ist dagegen die Durchführung regelmäßiger interner Audits sogar obligatorisch.