Benutzer-Werkzeuge

Webseiten-Werkzeuge


Seitenleiste

Ihr Inhalt

10000:09

9 Identifizieren kritischer IT-Ressourcen

VdS 10000
G1 Der ISB MUSS die kritischen IT-Ressourcen der Organisation ermitteln, jährlich prüfen, ob die Aufstellung der kritischen IT-Ressourcen aktuell ist und sie bei Bedarf anpassen.
E1 Die Organisation SOLLTE deshalb eine Informationsklassifizierung auf Basis eines anerkannten Standards wie ISO/IEC 27001 oder eine Schutzbedarfsanalyse gemäß BSI-Standard 200-2 durchführen.
G2 Wenn eine andere Vorgehensweise gewählt wird, so MUSS hierfür ein Verfahren (siehe Anhang A 1) implementiert werden, das die Anforderungen folgender Abschnitte erfüllt.

9.1 Prozesse

VdS 10000
G1 Die Organisation MUSS ihre zentralen Prozesse und ihre Prozesse mit hohem Schadenspotential identifizieren und dokumentieren.
G2 Die Dokumentation MUSS folgende Anforderungen erfüllen:
G2.1 1. Sie enthält eine kurze Beschreibung des Prozesses.
G2.2 2. Sie begründet, warum der Prozess ein zentraler Prozess bzw. ein Prozess mit hohem Schadenspotential ist.
G2.3 3. Sie enthält, wer für den Prozess verantwortlich ist (Prozessverantwortlicher).
G2.4 4. Sie enthält die maximal tolerierbare Ausfallzeit (MTA) des Prozesses.
G3 Die Aufstellung der Prozesse und deren Dokumentation MUSS vom Topmanagement freigegeben werden.

9.2 Informationen

VdS 10000
G1 Die Organisation MUSS ermitteln, ob sie kritische Informationen verarbeitet, überträgt und/oder speichert und diese dokumentieren.
D1 Kritische Informationen sind Informationen, bei denen folgende Faktoren zu katastrophalen Schäden führen können:
D1.1 1. unberechtigte Einsicht, Kenntnisnahme oder Weitergabe (Kriterium „Vertraulichkeit“)
D1.2 2. Verfälschung (Kriterium „Integrität“)
D1.3 3. Datenverlust von weniger als 24 Stunden (Kriterium „Maximal tolerierbarer Datenverlust – MTD“)
D1.4 4. Nichtverfügbarkeit im Echtzeitbetrieb (Kriterium „Unmittelbare Verfügbarkeit“)
G2 Hierfür MÜSSEN die zentralen Prozesse und die Prozesse mit hohem Schadenspotential (siehe Abschnitt 9.1) untersucht werden.
G3 Die Dokumentation MUSS folgende Anforderungen erfüllen:
G3.1 1. Sie enthält die Kriterien, anhand derer die Informationen als kritisch eingestuft wurden.
E1 Kritische Informationen SOLLTEN anhand ihrer qualitativen und quantitativen Merkmale beschrieben werden. Qualitative Merkmale definieren die Eigenschaften der kritischen Informationen. Quantitative Merkmale definieren, ab welcher Menge die Informationen mit den genannten Eigenschaften kritisch sind. Die Erfassung quantitativer und qualitativer Merkmale bietet die Möglichkeit, kritische Informationen zuverlässiger zu erfassen.
G3.2 2. Sie begründet, warum die Informationen kritisch sind.
G4 Die Aufstellung der kritischen Informationen und deren Dokumentation MUSS vom Topmanagement freigegeben werden.

9.3 IT-Ressourcen

VdS 10000
G1 Die Organisation MUSS ihre kritischen IT-Ressourcen (insbesondere die kritischen IT-Systeme, mobilen Datenträger, Verbindungen sowie die kritische Individualsoftware) bestimmen und diese dokumentieren.
D1 Kritische IT-Ressourcen sind IT-Ressourcen, die kritische Informationen (siehe Abschnitt 9.2) verarbeiten, speichern oder übertragen oder die für den Betrieb von kritischen IT-Ressourcen zwingend benötigt werden.
G2 Hierfür MÜSSEN die kritischen Informationen (siehe Abschnitt 9.2) untersucht werden.
E1 Um IT-Ressourcen zu ermitteln, die kritische Informationen verarbeiten, speichern oder übertragen KANN ein Top-Down-Ansatz (prozessorientierte Sicht), ein Bottom-Up-Ansatz (systemorientierte Sicht) oder eine Mischung aus beiden verwendet werden. Bei Top-Down wird ermittelt, wo die kritischen Informationen verarbeitet, gespeichert und übertragen werden. Bei Bottom-Up hingegen wird die IT-Infrastruktur (insbesondere IT-Systeme, mobile Datenträger und Verbindungen) untersucht, ob sie kritische Informationen verarbeiten, speichern oder übertragen. Eine Mischung aus beiden Ansätzen bietet die Möglichkeit, die entsprechenden IT-Ressourcen zuverlässig zu identifizieren.
E2 Um IT-Ressourcen zu ermitteln, die für den Betrieb von kritischen IT-Ressourcen zwingend benötigt werden, KANN ebenfalls ein Top-Down-Ansatz, ein Bottom-Up-Ansatz oder eine Mischung aus beiden Ansätzen verwendet werden.
G3 Die Dokumentation MUSS folgende Anforderungen erfüllen:
G3.1 1. Sie enthält eine kurze Beschreibung der kritischen IT-Ressource.
G3.2 2. Sie begründet, warum die IT-Ressource kritisch ist.
G3.3 3. Sie enthält die maximal tolerierbare Ausfallzeit (MTA) der IT-Ressource.
G4 Die MTA MUSS ebenso kurz oder kürzer sein, als die kürzeste MTA aller zentralen Prozesse und Prozesse mit hohem Schadenspotential (siehe Abschnitt 9.1), die von der kritischen IT-Ressource direkt oder indirekt abhängig sind.
E3 Bei der Bestimmung der MTA SOLLTEN Abhängigkeiten zwischen kritischen IT-Ressourcen berücksichtigt werden.
G5 Die Aufstellung der kritischen IT-Ressourcen und deren Dokumentation MUSS vom IT-Verantwortlichen freigegeben werden.
10000/09.txt · Zuletzt geändert: 24.01.2020 16:52 (Externe Bearbeitung)

Hier finden Sie unser Impressum und unsere Datenschutzerklärung.