Bundesamt für Sicherheit in der Informationstechnik

BSI-Standards – Methoden, Verfahren und Prozesse zur Informationssicherheit

BSI-Standard 200-1 zu Managementsystemen für Informationssicherheit

Der im Rahmen der IT-Grundschutz-Modernisierung aktualisierte BSI-Standard 200-1 definiert allgemeine Anforderungen an ein Managementsystem für Informationssicherheit (ISMS). Er ist weiterhin kompatibel zum ISO-Standard 27001 und berücksichtigt die Empfehlungen der anderen ISO-Standards wie beispielsweise ISO 27002. Die leicht verständliche und systematische Anleitung zum Aufbau eines ISMS ist dabei unabhängig von der eingesetzten Methode. Die Struktur des Standards 200-1 ist so konzipiert, dass sie zur IT-Grundschutz-Vorgehensweise kompatibel ist.

Im Hinblick auf die fachliche Auseinandersetzung mit der gesamten IT-Grundschutz-Methodik ist der aktualisierte BSI-Standard 200-1 am BSI-Standard 200-2 zur IT-Grundschutz-Vorgehensweise ausgerichtet sowie an der überarbeiteten ISO 27001:2013.

Aufgrund der ähnlichen Struktur der beiden Standards 200-1 und 200-2 können Anwender sich gut in beiden Dokumenten zurechtfinden.

Download BSI-Standard 200-1

Hinweis:

Kommentare zu den modernisierten BSI-Standards, die bis zum bis zum 30. Juni 2017 eingereicht werden, können für die geplante erste Edition berücksichtigt werden. Diese ist zur diesjährigen Security Messe it-sa im Oktober geplant. Gerne nehmen wir auch kontinuierlich Anmerkungen zu den Bausteinen entgegen. Bitte senden Sie Ihre Kommentare und Anregungen an grundschutz@bsi.bund.de.

BSI-Standard 200-2 zur IT-Grundschutz-Vorgehensweise

Der neue Standard bildet die Basis der bewährten BSI-Methodik zum Aufbau eines soliden Informationssicherheitsmanagements (ISMS). Eretabliert drei neue Vorgehensweisen bei der Umsetzung des IT-Grundschutzes: Die Basis-Absicherung liefert einen Einstieg zur Initiierung eines ISMS. Mit der Standard-Absicherung kann ein kompletter Sicherheitsprozess implementiert werden. Diese Absicherung entspricht weiterhin dem BSI-Standard 100-2 und ist kompatibel zur ISO 27001-Zertifizierung. Die Kern-Absicherung ist eine Vorgehensweise zum Einsteig in ein ISMS, bei der zunächst ein kleiner Teil eines größeren Informationsverbundes betrachtet wird.

Verantwortliche für Informationssicherheit können mit dem Standard 200-2 sowie den erforderlichen Bausteinen aus dem IT-Grundschutz-Kompendium ein ISMS in ihrer Institution aufbauen, bereits bestehende ISMS überprüfen oder erweitern. Die beiden verschlankten und modulare Vorgehensweisen Basis- und Kernabsicherung erleichtern insbesondere Verantwortlichen in kleinen und mittelständischen Betrieben den Einstieg in die Thematik.

Download BSI-Standard 200-2

Leitfaden zur Basis-Absicherung nach IT-Grundschutz

In 3 Schritten zur Informationssicherheit

Der „Leitfaden zur Basis-Absicherung nach IT-Grundschutz: In 3 Schritten zur Informationssicherheit“ liefert einen kompakten und übersichtlichen Einstieg zum Aufbau eines Informationssicherheitsmanagementsystems (ISMS) in einer Institution. Er ist besonders für kleine und mittelständische Unternehmen und Behörden geeignet, die sich zum ersten Mal mit grundlegenden Fragen zur Informationssicherheit befassen wollen. Basierend auf dem BSI-Standard 200-2 zur IT-Grundschutz-Methodik sind in dem Leitfaden die elementaren Schritte zur Überprüfung und Steigerung des Informationssicherheitsniveaus erläutert.

Download Leitfaden zur Basis-Absicherung nach IT-Grundschutz

Risikomanagement: BSI-Standard 200-3

Der Standard 200-3 zum Thema Risikomanagement liegt bereits als Community Draft vor. In ihm sind erstmals alle risikobezogenen Arbeitsschritte bei der Umsetzung des IT-Grundschutzes gebündelt dargestellt. Der Vorteil für die Anwender ist ein deutlich reduzierter Aufwand, um ein angestrebtes Sicherheitsniveau zu erreichen. Der Standard bietet sich an, wenn Unternehmen oder Behörden bereits erfolgreich mit der IT-Grundschutz-Methodik arbeiten und möglichst direkt eine Risikoanalyse an die IT-Grundschutz-Analyse anschließen möchten. Die Risikoanalyse aus dem bisherigen BSI-Standard 100-3 wurde in ein vereinfachtes Gefährdungsmodell überführt. Der neue Standard wurde zunächst als Community Draft veröffentlicht, damit die IT-Grundschutz-Community Anregungen und Hinweise in die Weiterentwicklung des IT-Grundschutzes einbringen kann.

Wir freuen uns über Ihre Anmerkungen an die E-Mail-Adresse grundschutz@bsi.bund.de.

Download BSI-Standard 200-3

Über die BSI-Standards

Die BSI-Standards sind ein elementarer Bestandteil der IT-Grundschutz-Methodik. Sie enthalten Empfehlungen zu Methoden, Prozessen und Verfahren sowie Vorgehensweisen und Maßnahmen zu unterschiedlichen Aspekten der Informationssicherheit. Anwender aus Behörden und Unternehmen sowie Hersteller oder Dienstleister können mit denn BSI-Standards ihre Geschäftsprozesse und Daten sicherer gestalten.

Weitere BSI-Standards, die sich derzeit noch im Bearbeitungsprozess befinden, können Sie hier einsehen.