4 Teil 5: V-Modell-Referenz Produkte
4.3 Produkte
4.3.12 IT-Organisation und Betrieb
4.3.12.2 IT-Sicherheitskonzept
Vorgehensbaustein |
Sinn und Zweck
Das IT-Sicherheitskonzept (auch: Informationssicherheitskonzept) einer Behörde dient der Umsetzung der Sicherheitsstrategie und beschreibt die geplante Vorgehensweise, um die gesetzten Sicherheitsziele zu erreichen. Das IT-Sicherheitskonzept ist das zentrale Dokument im Sicherheitsprozess der Behörde. Jede konkrete Maßnahme muss sich letztlich darauf zurückführen lassen. Aus diesem Grund muss ein IT-Sicherheitskonzept sorgfältig geplant und umgesetzt sowie regelmäßig überprüft werden.
Nicht alle Bereiche einer Institution müssen durch ein einziges IT-Sicherheitskonzept abgedeckt werden. Vor allem bei großen Behörden kann es mehrere IT-Sicherheitskonzepte geben, die verschiedene Organisationsbereiche abdecken. Ebenso können komplexe Geschäftsprozesse oder Anwendungen in eigenen IT-Sicherheitskonzepten behandelt werden. Dies empfiehlt sich vor allem bei der Einführung neuer Aufgaben oder Anwendungen.
Der Geltungsbereich eines IT-Sicherheitskonzepts umfasst immer einen Informationsverbund und stellt detailliert den Bereich dar, für den das Sicherheitskonzept umgesetzt werden muss. Ein Informationsverbund kann sich somit auf Fachaufgaben, Geschäftsprozesse oder Organisationseinheiten beziehen. Er umfasst alle infrastrukturellen, organisatorischen, personellen und technischen Komponenten, die der Aufgabenerfüllung in diesem Anwendungsbereich der Informationsverarbeitung dienen. Der Informationsverbund muss so festgelegt sein, dass die betrachteten Geschäftsprozesse und Informationen diesem Bereich vollständig zugeordnet werden können. Die Abhängigkeiten aller sicherheitsrelevanten Prozesse sind zu berücksichtigen. Die Schnittstellen zu den anderen Bereichen müssen klar definiert werden, so dass der Informationsverbund in der Gesamtorganisation eine sinnvolle Mindestgröße einnimmt.
Ausführlichere Hinweise zum IT-Sicherheitskonzept gibt das BSI unter Erstellung eines Sicherheitskonzepts.
Wann ist das Produkt entscheidungsrelevant?
Entscheidungspunkt |
Das Produkt ist zu keinem Entscheidungspunkt entscheidungsrelevant. |
Wer ist beteiligt?
Dieses Produkt ist extern und wird nicht vom Projektteam erstellt.
Verantwortlich |
|
Mitwirkend |
Es gibt keine weiteren Rollen, die bei der Erstellung des Produkts mitwirken. |
Wie erstellt man das Produkt?
Aktivität |
Die Erstellung des Produkts ist mit keiner Aktivität verbunden. |
Welche Abhängigkeiten hat das Produkt?
Erzeugt durch |
Dieses Produkt ist extern und muss deshalb nicht erzeugt werden. |
Erzeugt |
Das Produkt erzeugt keine weiteren Produkte. |
Hängt inhaltlich ab von |
Anforderungen und Analysen IT-Organisation und Betrieb Planung und Steuerung Prüfung Systementwurf Systemspezifikationen |