Häufig gestellte Frage

Die BSI Standards 100-1, 100-2 und 100-3 befassen sich ebenfalls mit dem Aufbau eines ISMS und dem Risikomanagement. Sie wurden vom Bundesamt für Sicherheit in der Informationstechnik herausgeben. Sie dienen Unternehmen als Leitfaden und Orientierungshilfe, um ein höheres Schutzniveau zu erreichen. Die "100er-Reihe" wurde im Oktober 2017 durch die BSI Standards 200-1, 200-2 und 200-3 vollständig abgelöst.

Der BSI Standard 200-1 ("Managementsysteme für Informationssicherheit") bescheibt die allgemeinen Anforderungen an ein ISMS. Dieser Standard ist direkt kompatibel mit der Norm ISO/IEC 27001. Ebenfalls werden in diesem Standard die Empfehlungen und Begrifflichkeiten der ISO-Norm berücksichtigt.

Der BSI 200-2 ("IT-Grundschutz-Methodik") bildet die Basis für die Umsetzung eines ISMS. Er enthält drei bewährte Vorgehensweisen für die Realisierung des IT-Grundschutzes. Bei der Basis-Absicherung wird zunächst die Einführung eines ISMS betrachtet. Mit der Kern-Absicherung wird ein Weg beschrieben, wie ein kleinerer Teil eines größeren IT-Verbundes mit einem ISMS abgedeckt wird. Die Standard-Absicherung liefert dann schließlich die Beschreibung eines vollständigen Sicherheitsprozesses.

Im Standard BSI 200-3 ("Risikomanagement") sind alle risikobezogenen Arbeitsschritte für die Umsetzung des IT-Grundschutzes gebündelt. Dies schließt die Ermittlung von elementaren Gefährdungen, die Risikoeinstufung und die Behandlung von Risiken ein. Empfohlen wird dieser Standard für Organisationen, die sich bereits erfolgreich mit der IT-Grundschutz-Methodik auseinandergesetzt haben. Gegenüber dem Vorläufer BSI 100-3 wurde in diesem neuen Standard der Aufwand zur Erreichung eines definierten Schutzniveaus reduziert.