Bevor diese Ergebnisse detailliert werden, ist eine Entscheidung über die Vorgehensweise erforderlich. Die IT-Grundschutz-Methodik sieht hierfür drei Varianten vor, zwischen denen sich eine Institution abhängig von ihren spezifischen Gegebenheiten entscheiden kann. Diese drei Varianten unterscheiden sich in der Breite und Tiefe der umgesetzten Schutzmaßnahmen:

• Die Basis-Absicherung ist für Institutionen interessant, die einen Einstieg in den IT-Grundschutz suchen und schnell alle relevanten Geschäftsprozesse mit Basismaßnahmen absichern möchten.
• Die Kern-Absicherung lenkt die Sicherheitsmaßnahmen auf die „Kronjuwelen“ einer Institution, also besonders wichtige Geschäftsprozesse und Assets. Diese Variante zielt damit auf die vertiefte Absicherung der kritischsten Bereiche ab.
• Die Standard-Absicherung entspricht der empfohlenen IT-Grundschutz-Vorgehensweise (vgl. früherer BSI-Standard 100-2). Sie hat einen umfassenden Schutz für alle Prozesse und Bereiche der Institution als Ziel.

Sowohl die Basis- als auch die Kern-Absicherung können als Einstieg und Grundlage für eine umfassende Absicherung nach IT-Grundschutz dienen.

In diesem Kurs wird die Vorgehensweise der Standard-Absicherung beschrieben, und dabei, falls sinnvoll, auch auf die beiden anderen Varianten verwiesen. Die folgende Abbildung zeigt die zugehörigen Schritte:

Die drei Varianten der IT-Grundschutz-Methodik werden in den Kapiteln 6, 7 und 8 des BSI-Standards 200-2 detailliert dargestellt. Die Basis-Absicherung wird darüber hinaus in einem eigenen Leitfaden zur Basis-Absicherung nach IT-Grundschutz ausführlich beschrieben.