GRUNDSCHUTZ.NET
Kontakt

IT-Grundschutz-Kompendium

Das IT-Grundschutz-Kompendium ist die zentrale Sammlung von Bausteinen des Bundesamts für Sicherheit in der Informationstechnik (BSI) zur Umsetzung der IT-Grundschutz-Methodik. Es richtet sich an Behörden, Unternehmen und andere Institutionen und dient als praxisnahes Nachschlagewerk für den Aufbau und Betrieb eines Informationssicherheitsmanagementsystems (ISMS).

Zweck und Zielsetzung

Das Kompendium bietet standardisierte Sicherheitsanforderungen für typische Geschäftsprozesse, Anwendungen, IT-Systeme, Kommunikationsverbindungen, Gebäude und Räume. Ziel ist es, ein angemessenes und dem Stand der Technik entsprechendes Sicherheitsniveau zu etablieren. Die Anforderungen sind so aufbereitet, dass sie ohne aufwändige Risikoanalysen angewendet werden können und damit den Einstieg in ein systematisches Informationssicherheitsmanagement erleichtern.

Aufbau und Struktur

Die Inhalte sind nach einem Schichtenmodell gegliedert, das sich in Prozess- und System-Bausteine unterteilt:

  • Prozess-Bausteine: z. B. Sicherheitsmanagement, Organisation, Personal, Notfallmanagement.

  • System-Bausteine: z. B. Server, Clients, Netze, Anwendungen, industrielle Steuerungssysteme, Gebäude.

Jeder Baustein enthält:

  1. eine Beschreibung des betrachteten Zielobjekts,

  2. typische Gefährdungen,

  3. konkrete Sicherheitsanforderungen.

Anforderungen im Kompendium

Die Sicherheitsanforderungen sind in drei Kategorien eingeteilt:

  • Basis-Anforderungen: Mindestmaßnahmen, die schnell und mit geringem Aufwand umgesetzt werden können.

  • Standard-Anforderungen: Maßnahmen, die den Stand der Technik darstellen und für einen normalen Schutzbedarf umzusetzen sind.

  • Anforderungen bei erhöhtem Schutzbedarf: zusätzliche Maßnahmen für besonders sensible Informationen oder kritische Prozesse.

Für eine Zertifizierung nach ISO 27001 auf Basis von IT-Grundschutz müssen die Basis- und Standard-Anforderungen  für den ausgewählten Geltungsbereich vollständig umgesetzt sein.

Aktualisierung und Weiterentwicklung

Das Kompendium wird regelmäßig aktualisiert. Dabei werden bestehende Bausteine überarbeitet, neue Themenfelder ergänzt und nicht mehr aktuelle Inhalte entfernt. Somit bleibt das Werk stets am Puls der technischen und organisatorischen Entwicklungen.

Beispielhafte Bausteine

Einige Bausteine aus dem Kompendium sind etwa:

  • ISMS.1 Sicherheitsmanagement

  • ORP.3 Sensibilisierung und Schulung zur Informationssicherheit

  • OPS.1.1.4 Schutz vor Schadprogrammen

  • APP.3.2 Webserver

  • INF.2 Rechenzentrum sowie Serverraum

Bedeutung

Das IT-Grundschutz-Kompendium ist die Praxisgrundlage des IT-Grundschutzes. Es erleichtert die Erstellung von Sicherheitskonzepten, reduziert Analyseaufwände durch standardisierte Vorgaben und stellt sicher, dass Institutionen ein wirksames und angemessenes Sicherheitsniveau erreichen können.

Zurück zum Glossar