MENU
  1. Bildung
  2. Wissen kompakt
  3. IT-Sicherheit
  4. IT-Grundschutz-Kompendium des BSI

Das IT-Grundschutz-Kompendium

Das IT-Grundschutz-Kompendium beinhaltet Anforderungen und Empfehlungen zu Methoden, Prozessen und Verfahren zur Informationssicherheit. Es richtet sich an öffentliche Einrichtungen wie auch Unternehmen der freien Wirtschaft und zielt darauf ab, Prozesse und Daten sicherer zu gestalten.

Das Kompendium enthält dazu IT-Grundschutz-Bausteine – in der ersten Edition 2018 80 an der Zahl, die unterschiedliche Themen der Informationssicherheit behandeln. Diese Bausteine wird das Bundesamt für Sicherheit in der Informationstechnik (BSI) in künftigen Editionen aktualisieren und ergänzen.

Das IT-Grundschutz-Kompendium ist neben den BSI-Standards eine grundlegende Veröffentlichung des IT-Grundschutzes. Es dient zudem als Prüfungsgrundlage für Zertifizierungen nach ISO 27001.

IT-Grundschutz: BSI modernisiert Standards

Das BSI hat im Herbst 2017 die IT-Grundschutz-Methodik grundlegend modernisiert. Im November 2017 veröffentlichte das BSI zunächst eine Final-Draft-Version des Grundschutz-Kompendiums, mit der die am häufigsten genutzten Bausteine der 15. Ergänzungslieferung des IT-Grundschutz-Kataloges auf Basis 100-x migriert wurden. Erstmals wurden hierin auch Bausteine für die Bereiche Industrie 4.0 und IT-Forensik definiert.

Seit Februar 2018 ergänzt die erste Edition des IT-Grundschutz-Kompendiums die Anforderungen des BSI an die IT-Sicherheit und löst die IT-Grundschutz-Kataloge auf Basis der Standardreihe 100-x ab. Das IT-Grundschutz-Kompendium ist seitdem elementarer Bestandteil und grundlegendes Instrument der modernisierten BSI-Standardreihe 200-x.

Das BSI wird nun jährlich jeweils zum 01.02. eine aktualisierte Version des IT-Grundschutz-Kompendiums veröffentlichen.

IT-Sicherheit im Unternehmen: das sind die Änderungen

Der Maßnahmenkatalog des IT-Grundschutz-Katalogs nach 100-x war sehr umfangreich und erwies sich in der Praxis für Unternehmen oft als zu komplex. Die im IT-Grundschutz-Kompendium aufgeführten Bausteine sind wesentlich kompakter und praxisorientierter, was die Umsetzung eines Sicherheitskonzeptes durch die Unternehmen deutlich vereinfacht.

Das IT-Grundschutz-Kompendium definiert im Einzelnen Anforderungen zur Informationssicherheit, die Unternehmen erfüllen müssen. Zur Umsetzung des IT-Grundschutzes hat das BSI drei verschiedene Vorgehensweisen eingeführt: die Basis-, die Kern- und die Standardabsicherung. Darauf können Unternehmen, je nach Größe und Stand ihrer Informationssicherheit, zurückgreifen.

  • Mit der Basisabsicherung sollen Mindestanforderungen wie der Einsatz von Firewalls und Zutrittskontrollen umgesetzt werden. Sie richtet sich insbesondere an kleine und mittelständische Unternehmen, die sich erstmals Fragen der strategischen Informationssicherheit widmen.
  • Die Kernabsicherung dient dem „Schutz der Kronjuwelen“, wie Produktions-, Kunden- oder Finanzdaten und ist geeignet für Unternehmen, die noch kein ganzheitliches Informationssicherheitsmanagementsystem (ISMS) integriert und daher noch Handlungsbedarf im Bereich Informationssicherheit haben.
  • Sind Basis- und Kernabsicherung abgeschlossen, folgt die Standardabsicherung, die auf ein höheres Sicherheitsniveau abzielt und die Absicherung der gesamten Sicherheitsarchitektur eines Unternehmens umfasst.

Mit der Standardreihe 200-x und den Bausteinen aus dem IT-Grundschutz-Kompendium können Unternehmen also ein solides ISMS aufbauen, bereits bestehende ISMS überprüfen und bei Bedarf ergänzen.

Neues IT-Grundschutz-Kompendium

Download

IT-Sicherheit im Unternehmen: BSI-IT-Grundschutz umsetzen

Die Erfahrungen von Unternehmen in der IT-Sicherheit variieren stark, was auch für die Umsetzung konkreter Sicherheitsstandards relevant ist.

Unternehmen, die noch kein vollständiges ISMS etabliert haben, können direkt in den IT-Grundschutz nach 200-x einsteigen und, je nach Stand der eigenen Informationssicherheit, an der Basis-, Kern- oder Standardabsicherung ansetzen.

Unternehmen, die bereits Sicherheitskonzepte erarbeitet haben, sollten unter Berücksichtigung der neuen Anforderungen des Grundschutz-Kompendiums einen Migrationsplan entwickeln, um die eigene IT-Sicherheit zu evaluieren und anzupassen. „Wenn bereits vorhandene Sicherheitskonzepte in den Unternehmen vorliegen, empfehle ich, zunächst einen Migrationsplan zu entwickeln und zu evaluieren, inwiefern vorhandene Sicherheitskonzepte migriert werden können“, rät Tatjana Brozat, Auditorin für Informationssicherheit und Referentin der TÜV NORD Akademie.

Unternehmen können jedoch auch ihre Sicherheitskonzepte auf Basis des modifizierten BSI-Standards neu aufsetzen. „Wenn sich Einrichtungen für eine gänzlich neue Erarbeitung entscheiden, sollte auch diese sorgfältig geplant werden. Insgesamt sollte genug Zeit für die Anwendung des neuen IT-Grundschutzes eingeplant und die Verantwortlichen vorab auf den neuen Ansatz geschult werden“, erklärt Brozat.

IT-Sicherheit in Deutschland: aktuelle Themen

IT-Grundschutz-Experte (TÜV)

BSI-Standard 100 in täglicher Anwendung schafft Sicherheit und Zuverlässigkeit bei der Verarbeitung von Informationen und Daten.
Zum Seminar

ISO/IEC 27001 – Informationssicherheitsmanagement-Auditor

Lassen Sie sich in unserer ISO 27001 Lead Auditor Schulung (IRCA 17242) zum Informations-sicherheitsmanagement-Auditor ausbilden.
Zum Seminar

Information Security Officer – ISO (TÜV)

IT-Sicherheitsbeauftragter gemäß ISO 27001 und IT-Grundschutz. Lernen Sie die Rolle des ISO's im Betrieb und Erfolgsfaktoren für ein Informationsmanagementsystem kennen.
Zum Seminar

Chief Information Security Officer – CISO (TÜV)

Sie erhalten fundierte Kenntnisse um Ihre Informationssicherheit kompetent zu steuern.
Zum Seminar

Ihre Ansprechpartnerin

Melanie Braunschweig

Melanie Braunschweig

TÜV NORD Akademie GmbH & Co. KG
Produktmanagerin Datenschutz und Informationsmanagement
II. Hagen 7, 45127 Essen

+49 201 31955-42
Fax: +49 201 31955-70

mbraunschweig@tuev-nord.de

Diese Seite weiterempfehlen