Suchen

Definition IT-Grundschutz BSI-Standard 200-1 Was ist der BSI-Standard 200-1?

| Autor / Redakteur: Dipl.-Ing. (FH) Stefan Luber / Peter Schmitz

Der BSI-Standard 200-1 ist neben den Standards 200-2 und 200-3 ein elementarer Bestandteil der IT-Grundschutz-Methodik des BSI. Er definiert die allgemeinen Anforderungen an Information Security Management Systeme (ISMS - Managementsysteme für Informations­sicherheit) und ist kompatibel zum ISO-Standard 27001. Ziel des BSI-Standards ist es, Geschäftsprozesse von Unternehmen und Behörden sicherer zu gestalten und Daten zu schützen. Der BSI-Standard 200-1 löste 2017 den BSI-Standard 100-1 ab.

Firma zum Thema

Der BSI-Standard 200-1 beschreibt Anforderungen an Managementsysteme für Informationssicherheit.
Der BSI-Standard 200-1 beschreibt Anforderungen an Managementsysteme für Informationssicherheit.
(Bild: Bundesamt für Sicherheit in der Informationstechnik (BSI))

Der Titel des BSI-Standards 200-1 lautet "Managementsysteme für Informationssicherheit". Der Standard definiert die allgemeinen Anforderungen an Managementsysteme für Informationssicherheit (ISMS - Information Security Management System) und ist neben den Standards 200-2 und 200-3 elementarer Bestandteil der IT-Grundschutz-Methodik des Bundesamts für Sicherheit in der Informationstechnik (BSI). Es besteht Kompatibilität zum ISO-Standard ISO/IEC 27001. Auch die Empfehlungen und Begrifflichkeiten anderer ISO-Standards wie ISO/IEC 27002 finden im BSI-Standard Berücksichtigung.

Inhalte der BSI-Standards sind Maßnahmen, Vorgehensweisen und Empfehlungen zu Verfahren, Methoden und Prozessen rund um verschiedene Aspekte der Informationssicherheit in Unternehmen und Behörden. Ziel des Standards ist es, durch die schrittweise Einführung und Umsetzung eines ISMS Geschäftsprozesse sicherer zu gestalten und Daten zu schützen. Es soll ein angemessenes und ausreichendes Schutzniveaus für IT-Systeme geschaffen werden. Neben den Rahmenbedingungen für ein Information Security Management System ist in 200-1 der allgemeine Umgang mit den anderen BSI-Standards der Standardreihe beschrieben. Die Inhalte des Standards sind möglichst leicht verständlich und besitzen eine systematische Struktur. Adressaten sind Verantwortliche für die Informationssicherheit, Sicherheitsbeauftragte, Führungskräfte, Projektleiter, Sicherheitsberater und Sicherheitsexperten. Im Rahmen einer Modernisierung der drei Standards im Jahr 2007 löste der Standard 200-1 den Standard 100-1 ab.

Die wesentlichen Inhalte des BSI-Standards 200-1

Die Inhalte des BSI-Standards 200-1 beantworten unter anderem folgende Fragestellungen:

  • Welche Anforderungen bestehen an Managementsysteme für Informationssicherheit?
  • Was sind die Sicherheitsziele des Unternehmens oder der Organisation?
  • Wie managen, steuern und überwachen die Verantwortlichen die Sicherheitsprozesse?
  • Wie lassen sich Strategien für eine angemessene Sicherheit entwickeln?
  • Welche Konzepte und Maßnahmen sind zur Umsetzung der Sicherheitsstrategien notwendig?
  • Wie lässt sich das Sicherheitsniveau halten oder verbessern?

Inhalte sind allgemeine Anforderungen an die Managementsysteme für Informationssicherheit und Methoden zur Initiierung, Überwachung, Steuerung und zum Management der Informationssicherheit einer Institution. Die Inhalte sind vollständig kompatibel zum ISO-Standard ISO/IEC 27001 und berücksichtigen die Empfehlungen aus dem ISO-Standard ISO/IEC 27002. Auch die Begrifflichkeiten sind ähnlich zu den ISO-Standards. Im Vergleich zu den ISO-Standards sind die didaktische Darstellungen verbessert und die Strukturierung an die Vorgehensweise im IT-Grundschutz angeglichen.

Kurzer Rückblick auf 100-1

Der IT-Grundschutz des Bundesamts für Sicherheit in der Informationstechnik wurde in seinen Grundzügen bereits 1994 eingeführt. Im Zuge einer Modernisierung erfolgte eine Überarbeitung der aus dem Jahr 2008 stammenden BSI-Standards 100-1, 100-2, 100-3 und des IT-Grundschutzkatalogs. Im Jahr 2017 erschienen die Nachfolgestandards 200-1, 200-2 und 200-3. Im Zuge der Modernisierung erweiterte das BSI den Adressatenkreis. Während 100-1 hauptsächlich Verantwortliche der Informationssicherheit adressierte, richtet sich 200-1 explizit auch an Projektleiter oder Führungskräfte. Zudem erfolgten Anpassungen an den BSI-Standard 200-2, zusätzliche Ausdifferenzierungen, Anpassungen der Begrifflichkeiten und Vorgehensweisen sowie Erweiterungen und Überarbeitungen der Sicherheitsprozesse.

(ID:46298746)

Über den Autor