Grundschutz

Question 1

Derzeit besteht der IT-Grundschutz aus vier BSI-Standards und dem Kompendium:

Answer 1

• BSI-Standard 200-1 Managementsysteme für Informationssicherheit (ISMS)
• BSI-Standard 200-2 IT-Grundschutz-Methodik
• BSI-Standard 200-3 Risikomanagement
• BSI-Standard 100-4 Notfallmanagement (im Entwurf BSI-Standard 200-4: Business Continuity Management)

Question 2

BSI-Standard 200-1 Managementsysteme für Informationssicherheit (ISMS)

Answer 2

Der BSI-Standard 200-1 definiert allgemeine Anforderungen an ein Managementsystem für Informationssicherheit (ISMS)

Question 3

BSI-Standard 200-2 IT-Grundschutz-Methodik

Answer 3

Der Standard bildet die Basis der bewährten BSI-Methodik zum Aufbau eines soliden Informationssicherheitsmanagements (ISMS).

Question 4

BSI-Standard 200-3 Risikomanagement

Answer 4

Der Standard beinhaltet gebündelt alle risikobezogenen Arbeitsschritte bei der Umsetzung des IT-Grundschutzes. Er dient der Risikoanalyse

Question 5

BSI-Standard 100-4 Notfallmanagement (im Entwurf BSI-Standard 200-4: Business Continuity Management)

Answer 5

Der Standard gibt eine praxisnahe Anleitung, um ein Business Continuity Management System (BCMS) in der eigenen Institution aufzubauen und zu etablieren

Question 6

IT-Grundschutz-Kompendium

Answer 6

Institutionen/Unternehmen müssen Gefahren identifizieren, bewerten und begegnen können. Das BSI hat dzu eine generische Gefährdungsanalyse erstellt und 47 elementare Gefährdungen (nummeriert als G 0.x) bestimmt und aufgelistet

Question 7

Plan-Do-Check-Act-Zyklus, auch als Deming-Cycle (Shewhart-Cycle) bewährt. Dieses Modell dient dazu, die Qualität und hier die (IT-)Governace iterativ und kontinuierlich zu verbessern:

Answer 7

PLAN:

• Schwachstellen identifizieren und analysieren

DO:

• Implementierung
• Change Management (Ablauf- und Aufbauorg., Technologien, etc.)

CHECK:

• Monitoring
• PoC
• Reporting

ACT:

• Kontinuierliche Verbesserung

Question 8

Definition Compliance

Answer 8

Im betriebswirtschaftlich-rechtswissenschaftlichen Kontext umschreibt Compliance die Regeltreue (auch Regelkonformität) von Unternehmen gegenüber extern vorgegebenen und intern aufgestellten Regeln

Question 9

Was betrifft Compliance?

Answer 9

Die Einhaltung von gesetzlichen Vorschriften und weiteren für das Unternehmen relevanten Regelwerken. Diese müssen analysiert und zu einem unternehmensindividuellen Compliance-Portfolio zusammengefasst werden

Eine Vielzahl von Vorgaben für den Compliance-Bereich müssen neben den unternehmensspezifischen Anforderungen aus verschiedenen nationalen und internationalen Gesetzen/Richtlinien berücksichtigt werden

Question 10

Was macht die IT-Compliance

Answer 10

Die IT-Compliance als Subsystem der Compliance bildet folglich die Regelkonformität für den IT-Bereich ab

Question 11

IT-Compliance und IT-Governance

Answer 11

Zwischen IT-Compliance und IT-Governance besteht eine enge Verzahnung. Die Sicherstellung der Compliance der Unternehmens-IT ist ein zentrales Handlungsfeld der IT-Governance

Question 12

Governance, Risk und Compliance (GRC)

Answer 12

In der wissenschaftlichen Diskussion und der betriebswirtschaftlichen Betrachtung wird es deutlich, dass es einen Zusammenhang zwischen IT Government, IT Risikomanagement und IT Compliance gibt. „Aufgrund der inhaltlichen Zusammenhänge wird von der Trias „Governance, Risk und Compliance“ (GRC)“

Question 13

Risk Management

Answer 13

In diesem Kontext spielt das Risk Management (IKS) eine wichtige Rolle, um Risiken rechtzeitig zu identifizieren, zu bewerten und entsprechende Gegenmaßnahmen ergreifen zu können, wie z. B. die der Risikodiversifikation