(openPR) BSI-Grundschutz-Maßnahmen über die Akzeptanzkriterien der Risikoanalyse ausschließen
Wer sein Informationsmanagementsystem (ISMS) auf der ISO 27001 aufbaut aber die Maßnahmen des BSI-Grundschutzes nicht missen, bzw. in speziellen Fällen gerade die BSI-Grundschutz-Maßnahmen realisieren möchte, findet hier die Vorgehensweise, die beschreibt, wie die Ergebnisse der ISO 27001-Risiko-Analyse auf den BSI-Grundschutz und dessen Maßnahmen übertragen werden können. Im Regelfall reduzieren sich die Anzahl der umzusetzenden BSI-Grundschutz-Maßnahmen.
Trotz allem ist es grundsätzlich immer möglich ISO 27001 und Grundschutz-Dinge nebeneinander und unabhängig voneinander zu erstellen und zu bearbeiten.
Hier und in einem speziellen "Paper", welches Sie auch herunterladen können, wird aufgezeigt, wie die Fülle der BSI-Grundschutz-Maßnahmen entsprechend den Festlegungen aus der ISO-27001-Risiko-Analyse reduziert werden können.
Es ist wichtig, dass die Festlegungen in der Risiko-Analyse gemeinsam im Informationssicherheitsteam erarbeitet werden, sodass beim Ausschließen von Maßnahmen Einigkeit herrscht.
Die Voraussetzung, dass die beschriebene Vorgehensweise angewandt werden kann, ist der Einsatz der opus i Module „BSI-Grundschutz“ und „ISO 27001 nativ“.
Mit "ISO-27001-Risiko-Analyse" ist hier und in dem herunterladbaren "Paper" die Risiko-Analyse gemeint, die im opus i Modul „ISO 27001 Nativ“ durchgeführt wird.
Sie führt über das Festlegen der Eintrittswahrscheinlichkeiten und Schadenshöhen zur Risikomatrix und über diese zur Einstufung der Akzeptanzkriterien mit anschließendem Einstufen der Risiken und Maßnahmen.
Die Risiko-Analyse wird zu einem beliebigen ISO 27001 Prozess aufgesetzt und in fünf Schritte durchgeführt. Im ersten Schritt werden die Eintrittswahrscheinlichkeiten nach Ihrer Einschätzung festgelegt, im zweiten Schritt definieren Sie Ihre Schadenshöhen, im dritten Schritt wird die Risiko-Matrix aufgebaut - dies geschieht direkt am Bildschirm unter Zuhilfenahme der Maus. Im vierten Schritt werden die Risiken bewertet und im fünften Schritt auf die BSI-Grundschutz-Maßnahmen übertragen. Es ergeben sich die Risiko-Akzeptanzkriterien.
Diese Festlegungen können jetzt beim Modellieren eines Prozesses, der nach BSI-Grundschutz-Kriterien aufgebaut ist, auf die Grundschutz-Maßnahmen angewendet werden. Maßnahmen können inaktiv gesetzt oder überhaupt nicht in die Maßnahmenübersicht aufgenommen werden.
Das "Paper" laden Sie hier herunter
http://www.kronsoft.de/download/free/opusi-paper-b2.001.de.zip
Das Kennwort ist: SuperSache.
Eine interessante Lektüre wünscht Ihnen
Gerhard Kron
