Der Begriff „BSI-Grundschutz“ bezeichnet den vom Bundesamt für Sicherheit in der Informationstechnik (BSI) entwickelten IT-Grundschutz. Dabei handelt es sich um ein strukturiertes Rahmenwerk für den Aufbau, die Umsetzung und die kontinuierliche Verbesserung der Informationssicherheit in Organisationen. Der IT-Grundschutz verbindet organisatorische, personelle, infrastrukturelle und technische Sicherheitsanforderungen und dient als Grundlage, um ein Informationssicherheitsmanagementsystem (ISMS) systematisch umzusetzen. Methodische Grundlage sind insbesondere die BSI-Standards 200-1 bis 200-4 sowie das IT-Grundschutz-Kompendium mit seinen Bausteinen und Anforderungen.
Strukturanalyse und Informationsverbund-Erfassung: Abbildung von Geschäftsprozessen, Anwendungen, IT-Systemen, Kommunikationsverbindungen und Räumen als Grundlage für den IT-Grundschutz.
Schutzbedarfsfeststellung: Bewertung des Schutzbedarfs von Informationen, Anwendungen und Systemen in Bezug auf Vertraulichkeit, Integrität und Verfügbarkeit.
Modellierung mit IT-Grundschutz-Bausteinen: Zuordnung passender Bausteine und Anforderungen aus dem IT-Grundschutz-Kompendium zu den relevanten Zielobjekten.
Anforderungs- und Maßnahmenmanagement: Planung, Zuweisung, Nachverfolgung und Dokumentation von Sicherheitsmaßnahmen zur Umsetzung der Grundschutz-Anforderungen.
IT-Grundschutz-Check: Prüfung und Dokumentation, welche Anforderungen bereits erfüllt sind, wo Lücken bestehen und welche Maßnahmen priorisiert werden sollten.
Risikoanalyse: Unterstützung bei der Identifikation und Bewertung zusätzlicher Risiken, insbesondere bei hohem oder sehr hohem Schutzbedarf.
Dokumenten- und Nachweismanagement: Zentrale Ablage von Richtlinien, Konzepten, Prüfprotokollen, Maßnahmenständen und Audit-Nachweisen.
Rollen- und Aufgabenmanagement: Unterstützung bei der Zuordnung von Verantwortlichkeiten, etwa für Informationssicherheitsbeauftragte, Fachbereiche oder Maßnahmenverantwortliche.
Audit- und Zertifizierungsvorbereitung: Bereitstellung von Auswertungen und Nachweisen zur Vorbereitung interner Audits oder einer ISO-27001-Zertifizierung auf Basis von IT-Grundschutz.
Reporting und Dashboards: Auswertung des Umsetzungsstands, offener Risiken, Maßnahmenfortschritte und Reifegrade für Management und Revision.
Eine Behörde dokumentiert ihren Informationsverbund in einer Grundschutz-Software und ordnet Server, Fachverfahren und Netzkomponenten den passenden Bausteinen zu.
Ein mittelständisches Unternehmen bewertet den Schutzbedarf seines ERP-Systems und leitet daraus priorisierte Sicherheitsmaßnahmen ab.
Ein ISMS-Team führt einen IT-Grundschutz-Check durch, um Umsetzungsstände, Lücken und offene Maßnahmen nachvollziehbar zu dokumentieren.
Ein Krankenhaus ergänzt die Standardanforderungen durch eine Risikoanalyse für besonders schutzbedürftige Systeme und Prozesse.
Eine Organisation nutzt die dokumentierten Nachweise und Reports aus ihrer Grundschutz-Lösung zur Vorbereitung auf ein Audit oder eine Zertifizierung.