C Referenz Produkte

C.1 Produkte

C.1.14 IT-Organisation und Betrieb

C.1.14.2 IT-Sicherheitskonzept

Das IT-Sicherheitskonzept (auch: Informationssicherheitskonzept) einer Behörde dient der Umsetzung der Sicherheitsstrategie und beschreibt die geplante Vorgehensweise, um die gesetzten Sicherheitsziele zu erreichen. Das IT-Sicherheitskonzept ist das zentrale Dokument im Sicherheitsprozess der Behörde. Jede konkrete Maßnahme muss sich letztlich darauf zurückführen lassen. Aus diesem Grund muss ein IT-Sicherheitskonzept sorgfältig geplant und umgesetzt sowie regelmäßig überprüft werden.

Nicht alle Bereiche einer Institution müssen durch ein einziges IT-Sicherheitskonzept abgedeckt werden. Vor allem bei großen Behörden kann es mehrere IT-Sicherheitskonzepte geben, die verschiedene Organisationsbereiche abdecken. Ebenso können komplexe Geschäftsprozesse oder Anwendungen in eigenen IT-Sicherheitskonzepten behandelt werden. Dies empfiehlt sich vor allem bei der Einführung neuer Aufgaben oder Anwendungen.

Der Geltungsbereich eines IT-Sicherheitskonzepts umfasst immer einen Informationsverbund und stellt detailliert den Bereich dar, für den das Sicherheitskonzept umgesetzt werden muss. Ein Informationsverbund kann sich somit auf Fachaufgaben, Geschäftsprozesse oder Organisationseinheiten beziehen. Er umfasst alle infrastrukturellen, organisatorischen, personellen und technischen Komponenten, die der Aufgabenerfüllung in diesem Anwendungsbereich der Informationsverarbeitung dienen. Der Informationsverbund muss so festgelegt sein, dass die betrachteten Geschäftsprozesse und Informationen diesem Bereich vollständig zugeordnet werden können. Die Abhängigkeiten aller sicherheitsrelevanten Prozesse sind zu berücksichtigen. Die Schnittstellen zu den anderen Bereichen müssen klar definiert werden, so dass der Informationsverbund in der Gesamtorganisation eine sinnvolle Mindestgröße einnimmt.

Ausführlichere Hinweise zum IT-Sicherheitskonzept gibt das BSI unter Erstellung eines Sicherheitskonzepts.