4 Teil 5: V-Modell-Referenz Produkte

4.3 Produkte

4.3.12 IT-Organisation und Betrieb

4.3.12.2 IT-Sicherheitskonzept

Vorgehensbaustein

IT-Sicherheit

Sinn und Zweck

Das IT-Sicherheitskonzept (auch: Informationssicherheitskonzept) einer Behörde dient der Umsetzung der Sicherheitsstrategie und beschreibt die geplante Vorgehensweise, um die gesetzten Sicherheitsziele zu erreichen. Das IT-Sicherheitskonzept ist das zentrale Dokument im Sicherheitsprozess der Behörde. Jede konkrete Maßnahme muss sich letztlich darauf zurückführen lassen. Aus diesem Grund muss ein IT-Sicherheitskonzept sorgfältig geplant und umgesetzt sowie regelmäßig überprüft werden.

Nicht alle Bereiche einer Institution müssen durch ein einziges IT-Sicherheitskonzept abgedeckt werden. Vor allem bei großen Behörden kann es mehrere IT-Sicherheitskonzepte geben, die verschiedene Organisationsbereiche abdecken. Ebenso können komplexe Geschäftsprozesse oder Anwendungen in eigenen IT-Sicherheitskonzepten behandelt werden. Dies empfiehlt sich vor allem bei der Einführung neuer Aufgaben oder Anwendungen.

Der Geltungsbereich eines IT-Sicherheitskonzepts umfasst immer einen Informationsverbund und stellt detailliert den Bereich dar, für den das Sicherheitskonzept umgesetzt werden muss. Ein Informationsverbund kann sich somit auf Fachaufgaben, Geschäftsprozesse oder Organisationseinheiten beziehen. Er umfasst alle infrastrukturellen, organisatorischen, personellen und technischen Komponenten, die der Aufgabenerfüllung in diesem Anwendungsbereich der Informationsverarbeitung dienen. Der Informationsverbund muss so festgelegt sein, dass die betrachteten Geschäftsprozesse und Informationen diesem Bereich vollständig zugeordnet werden können. Die Abhängigkeiten aller sicherheitsrelevanten Prozesse sind zu berücksichtigen. Die Schnittstellen zu den anderen Bereichen müssen klar definiert werden, so dass der Informationsverbund in der Gesamtorganisation eine sinnvolle Mindestgröße einnimmt.

Ausführlichere Hinweise zum IT-Sicherheitskonzept gibt das BSI unter Erstellung eines Sicherheitskonzepts.

Wann ist das Produkt entscheidungsrelevant?

Entscheidungspunkt

Das Produkt ist zu keinem Entscheidungspunkt entscheidungsrelevant.

Wer ist beteiligt?

Dieses Produkt ist extern und wird nicht vom Projektteam erstellt.

Verantwortlich

IT-Sicherheitsbeauftragter

Mitwirkend

Es gibt keine weiteren Rollen, die bei der Erstellung des Produkts mitwirken.

Wie erstellt man das Produkt?

Aktivität

Die Erstellung des Produkts ist mit keiner Aktivität verbunden.

Welche Abhängigkeiten hat das Produkt?

Erzeugt durch

Dieses Produkt ist extern und muss deshalb nicht erzeugt werden.

Erzeugt

Das Produkt erzeugt keine weiteren Produkte.

Hängt inhaltlich ab von

Anforderungen und Analysen

IT-Organisation und Betrieb

Planung und Steuerung

Prüfung

Systementwurf

Systemspezifikationen