Bundesamt für Sicherheit in der Informationstechnik

Standardisierte Vorgehensweise

Das BSI erarbeitet Mindeststandards nach einer standardisierten Vorgehensweise. In insgesamt sieben Phasen wird der gesamte Lebenszyklus (Life Cycle) eines Mindeststandards beschrieben, von der Ideenfindung bis über die Veröffentlichung hinaus (siehe Abbildung unten). Dabei wird besonderer Wert auf eine breite und aktive Einbindung aller Adressaten gelegt. Grob kann man den Prozess in drei Hauptabschnitte einteilen: die hausinterne Erarbeitung, das externe Konsultationsverfahren und die Nutzungsphase nach Veröffentlichung.

I. Als erstes werden mögliche Themen für neue Mindeststandards identifiziert (Pre-α). Neben der Expertise des BSI sind dazu auch Anregungen der Adressaten eine wichtige Quelle. Wurde ein Thema zur Bearbeitung ausgewählt, erstellen das Referat Mindeststandards und das zuständige Fachreferat eine Grobversion, die dann im gesamten BSI abgestimmt und zum ersten BSI-Entwurf entwickelt wird (α).

II. Danach startet das Konsultationsverfahren (β). Das BSI gibt seinen Entwurf an die Ressorts und veröffentlicht parallel einen Community Draft auf seiner Webseite. So erhalten sowohl die Adressaten, als auch interessiertes Fachpublikum die Möglichkeit, Rückmeldungen zu geben und so ihre Expertise in die Entwicklung des Mindeststandards mit einfließen zu lassen. Nach Ende der β-Phase werden die Rückmeldungen zusammen mit dem Fachreferat eingearbeitet. Der zweite Entwurf des Mindeststandards wird im BSI final abgestimmt und schlussgezeichnet (Release Candidate). Anschließend wird der Mindeststandard sowohl auf der BSI-Webseite veröffentlicht, als auch direkt an die Ressorts gegeben (Release).

III. Mit der Veröffentlichung endet der Life Cycle noch nicht. Es folgt die Δ-Phase, zu der neben Support auch das Monitoring gehört. Der Einsatz des Mindeststandards wird analysiert und die Inhalte werden regelmäßig auf Aktualität geprüft. So kann über einen Änderungsantrag die Aktualisierung eines bereits veröffentlichten Mindeststandards eingeleitet werden, z.B. wenn sich technische Rahmenbedingungen geändert haben (Request for Change).

Mindeststandards unterliegen also einem aktiven, fortdauernden Prozess, in dem Rückmeldungen und Kritik ausdrücklich erwünscht sind.

Abbildung der Phasen des Life Cycle bei der Entwicklung von Mindeststandards Mindeststandard Life Cycle

Haben Sie Fragen oder Anregungen zum Thema Mindeststandards? Dann nehmen Sie gerne mit uns Kontakt auf.