Wie bereits erwähnt, beschreiben die IT-Grundschutz-Bausteine Anforderungen, die eine Institution umsetzen MUSS oder SOLLTE. In ihnen ist also dargestellt, was zu geschehen ist, nicht aber, wie dies zu erfolgen hat. Für die Ausarbeitung von Sicherheitskonzepten wie auch für ein Prüfkonzept ist es notwendig, zu den einzelnen Anforderungen geeignete Sicherheitsmaßnahmen zu formulieren. Als Hilfsmittel hierfür gibt es zu den meisten Bausteinen des IT-Grundschutz-Kompendiums Umsetzungshinweise.

Maßnahmen, mit denen eine Anforderung erfüllt wird, müssen angemessen sein. Im Einzelnen bedeutet dies, dass sie

• wirksam sind, also vor den möglichen Gefährdungen schützen und den identifizierten Schutzbedarf abdecken,
• geeignet sind, also tatsächlich umsetzbar sind, ohne die Organisationsabläufe unverhältnismäßig zu behindern oder andere Sicherheitsmaßnahmen auszuhebeln,
• praktikabel sind, also leicht verständlich, einfach anzuwenden und wenig fehleranfällig,
• Akzeptanz finden, also auch barrierefrei sind und niemanden diskriminieren oder beeinträchtigen,
• wirtschaftlich eingeführt und betrieben werden können, der mit ihrer Umsetzung verbundene Aufwand also in einem angemessenen Verhältnis zu den zu schützenden Werten steht.

Bei der Vorgehensweise Standard-Absicherung sollten neben den verpflichtenden Basis-Anforderungen in der Regel immer auch alle Standard-Anforderungen eines Bausteins erfüllt werden. Gleichwohl kann es in Einzelfällen zu Ausnahmen kommen, etwa weil eine Anforderung nicht relevant ist oder ihre Erfüllung mit der Erfüllung anderer Anforderungen im Widerspruch steht. Dies ist auch bei Basis-Anforderungen möglich. Solche Abweichungen sollten Sie nachvollziehbar begründen. Für zwar relevante, aber mit vertretbarem Aufwand nicht erfüllbare Anforderungen sollten Sie Ersatzlösungen festlegen.