====== Vorgehensweise ======

===== Überblick =====

<WRAP group>
<WRAP twothirds column>
Die Konzeption und Planung des Sicherheitsprozesses und die Erstellung des [[..:sicherheitskonzept:start|]] umfasst nach {[BSI2002]}, S.21ff die nachfolgenden Schritte:
  * Ermittlung von [[komponenten:rahmenbedingungen:|Rahmenbedingungen]]
  * Formulierung von allgemeinen Informationssicherheitszielen
  * Bestimmung des angemessenen Sicherheitsniveaus der Geschäftsprozesse
  * Ersterfassung der Prozesse, Anwendungen und IT-Systeme
  * Entscheidung für Vorgehensweise
  * Erstellung einer [[..:leitlinie:start|Leitlinie zur Informationssicherheit]]

Erstellung einer Sicherheitskonzeption ist abhängig vom angestrebten Absicherungsniveau auf Basis einer durchgeführten Ersterfassung. Unterschieden werden {[BSI2002]}, S. 28: 
  * Basis-Absicherung: zur grundlegenden Absicherung und dient (vor allem für kleiner Unternehmen) einem ersten Einstieg in den Sicherheitsprozess
  * Kern-Absicherung: weitere Einstiegsvorgehensweise zum Schutz der essenziellen Geschäftsprozesse und Ressourcen durch Fokussierung auf die "Kronjuwelen"
  * Standard-Absicherung: entspricht der bewährten IT-Grundschutz-Vorgehensweise und sollte als mittelfristiges Ziel ein vollständiges Sicherheitskonzept umfassen

Die Vor- und Nachteile sind in {[BSI2002]}, S. 32 zusammengetragen. 
</WRAP>

<WRAP third column>

{{:komponenten:vorgehensweise:vorgehensweise.svg}}
</WRAP>
</WRAP>



<WRAP group>
<WRAP third column>

===== Vorgehensweise Basis-Absicherung =====
Die Schritte zur Erstellung einer Sicherheitskonzeption nach der Vorgehensweise Basis-Absicherung ist in Kapitel 6. {[BSI2002]}, S. 61ff. definiert und umfasst die folgenden Schritte:
  * Festlegung des Geltungsbereichs
  * Auswahl und Priorisierung relevanter Bausteine aus dem IT-Grundschutz-Kompendium
  * IT-Grundschutz-Check bzgl. Basisanforderungen
  * Realisierung der Maßnahmen 
  * Auswahl der folgenden Vorgehensweise: entweder Kern- oder Standardabsicherung

</WRAP>

<WRAP third column>

===== Vorgehensweise Kern-Absicherung =====
Die Schritte zur Erstellung einer Sicherheitskonzeption nach der Vorgehensweise Kern-Absicherung ist in Kapitel 7. {[BSI2002]}, S. 68ff. definiert und umfasst die folgenden Schritte:
  * "Festlegung des Geltungsbereichs für die Kern-Absicherung
  * Identifikation und Festlegung der kritischen Assets (Kronjuwelen)
  * Strukturanalyse
  * Schutzbedarfsfeststellung
  * Modellierung: Auswahlund Anpassung von Anforderungen
  * IT-Grundschutz-Check
  * Risikoanalyse und weiterführende Sicherheitsmaßnahmen
  * Umsetzung und weitere Schritte" {[BSI2002]}, S. 69

</WRAP>

<WRAP third column>

===== Vorgehensweise Standard-Absicherung =====
Die Schritte zur Erstellung einer Sicherheitskonzeption nach der Vorgehensweise Standard-Absicherung ist in Kapitel 8. {[BSI2002]}, S. 76ff. definiert und umfasst die folgenden Schritte:
  * Festlegung des Geltungsbereichs
  * Strukturanalyse
  * Schutzbedarfsfeststellung
  * Auswahl von Anforderungen und Anpassung von Maßnahmen (Modellierung)
  * IT-Grundschutz-Check
  * Risikoanalyse
  * Reihenfolge der Bearbeitung {[BSI2002]}, S. 76ff.
</WRAP>
</WRAP>