• Die BSI-Standards im Rahmen der Grundschutzmodernisierung

  • Standards gültig bis Okt. 2017

    Standards neu ab Okt. 2017

    Grundsätzliche Inhalte

    Neuerungen

  • BSI-Standard 100-1: ISMS: Managementsysteme für Informationssicherheit, Version 1.5 vom Mai 2008

    BSI-Standard 200-1: ISMS: Managementsysteme für Informationssicherheit; derzeit neu als Community Draft in Version 1.0 veröffentlicht

    definiert allgemeine Anforderungen an ein Managementsystem für Informationssicherheit (ISMS); kompatibel mit ISO/IEC 27001, Interpretation der Norm

    – Anpassungen an Fortschreibung der referenzierten ISO-Standards 27001 und 27002

    – Anpassungen an BSI-Standard 200-2

  • BSI-Standard 100-2: IT-Grundschutz-Vorgehensweise, Version 2.0 vom Mai 2008

    BSI-Standard 200-2: IT-Grundschutz-Methodik; derzeit neu als Community Draft in Version 1.0 veröffentlicht

    Der Standard bietet nun konkrete Hilfestellungen, wie ein Managementsystem für die Informationssicherheit Schritt für Schritt eingeführt werden kann. Es wird dabei auf die einzelnen Phasen dieses Prozesses eingegangen und es werden vorbildliche Lösungen aus der Praxis, sogenannte Best-Practice-Ansätze, zur Bewältigung der Aufgaben vorgestellt.

    – mehrere Vorgehensweisen zum Einstieg – Erweiterung um Virtualisierung, Cloud-, ICS- und IoT-Absicherung

    – Anpassungen an Fortschreibung der ISO-Standards

    – verbindliche Äußerungen zu weiteren Themen wie Reifegrade und Angemessenheit

    – Informationsfluss im Informationssicherheitsprozess überarbeitet

    – Angleichung an BSI-Standard 100-4

  • BSI-Standard 100-3: Risikoanalyse auf der Basis von IT-Grundschutz, Version 2.5 vom Mai 2008

    BSI-Standard 200-3: Risikoanalyse auf der Basis von IT-Grundschutz; derzeit neu als Community Draft in Version 1.0 veröffentlicht

    IT-Grundschutz-spezifisches Risikoanalyseverfahren auf der Basis der Gefährdungskataloge

    – Bündelung aller risikobezogenen Arbeitsschritte in einem neuen BSI-Standard 200-3

    – Implementation eines Risikoentscheidungsprozesses

    – keine Risikoakzeptanz bei den Basisanforderungen

    – explizite Möglichkeit der Risikoakzeptanz für Standardanforderungen und Anforderungen bei erhöhtem Schutzbedarf

  • BSI-Standard 100-4: Notfallmanagement; Version 1.0 vom November 2008

    BSI-Standard 100-4: Notfallmanagement; derzeit unverändert!

    IT-Grundschutz-spezifische Methodik zur Etablierung eines Notfallmanagements

    Bisher keine Änderungen geplant, obwohl die anderen BSI-Standards überarbeitet wurden und es inzwischen eine ISO-Norm 22301 gibt.