Der Begriff „Schutzbedarfsanalyse“ bezeichnet die systematische Bewertung, welchen Schutz Informationen, Geschäftsprozesse, Anwendungen, IT-Systeme, Kommunikationsverbindungen oder auch Räume benötigen. Ziel ist es, die möglichen Schäden zu bewerten, die bei einer Beeinträchtigung der Schutzziele Vertraulichkeit, Integrität und Verfügbarkeit entstehen können, und daraus angemessene Sicherheitsmaßnahmen abzuleiten. Im Umfeld von ISMS und BSI IT-Grundschutz wird dafür häufig auch der Begriff „Schutzbedarfsfeststellung“ verwendet. Die Einstufung erfolgt dabei typischerweise in Schutzbedarfskategorien wie „normal“, „hoch“ und „sehr hoch“.
Asset- und Strukturmanagement: Erfassung und Zuordnung von Informationen, Geschäftsprozessen, Anwendungen, IT-Systemen, Netzwerken, Dienstleistern und weiteren Schutzobjekten.
Bewertung nach Schutzzielen: Einstufung des Schutzbedarfs getrennt nach Vertraulichkeit, Integrität und Verfügbarkeit.
Kategorien- und Kriterienkataloge: Nutzung vordefinierter Bewertungsschemata, Schadensklassen und Schutzbedarfskategorien zur einheitlichen Beurteilung.
Vererbungs- und Aggregationslogik: Automatische Übertragung des Schutzbedarfs von Geschäftsprozessen und Informationen auf abhängige Anwendungen, Systeme oder Infrastrukturen.
Dokumentation von Schadensszenarien: Hinterlegung von Begründungen, Auswirkungen und möglichen Folgen bei Verlust von Vertraulichkeit, Integrität oder Verfügbarkeit.
Abhängigkeits- und Wirkungsanalysen: Darstellung kritischer Verbindungen und Abhängigkeiten zwischen Prozessen, Daten, Systemen und Standorten.
Maßnahmenableitung: Verknüpfung der Schutzbedarfseinstufung mit empfohlenen technischen und organisatorischen Sicherheitsmaßnahmen.
Workflows, Freigaben und Verantwortlichkeiten: Unterstützung von Prüf-, Freigabe- und Aktualisierungsprozessen inklusive Rollen und Zuständigkeiten.
Reporting und Audit-Trail: Erstellung von Berichten, Nachweisen und Historien für Audits, Compliance-Anforderungen und Managemententscheidungen.
Integration in ISMS- und GRC-Umgebungen: Anbindung an CMDB, Asset-Management, Risikoanalyse, Maßnahmenmanagement oder Compliance-Tools.
Eine Personalabteilung stuft Gehalts- und Personaldaten mit hohem oder sehr hohem Schutzbedarf bei der Vertraulichkeit ein.
Ein Produktionsunternehmen bewertet die Produktionssteuerung mit hohem Schutzbedarf bei der Verfügbarkeit, weil ein Ausfall unmittelbar zu Stillstand und wirtschaftlichen Schäden führen kann.
Ein Krankenhaus klassifiziert Patientenakten und medizinische Systeme mit sehr hohem Schutzbedarf, insbesondere hinsichtlich Vertraulichkeit und Integrität.
Ein Forschungsunternehmen bewertet Entwicklungsunterlagen, Konstruktionsdaten oder Patentanmeldungen mit hohem Schutzbedarf bei der Vertraulichkeit.
Eine Organisation prüft kritische Kommunikationsverbindungen, etwa die Anbindung einer Personalabteilung oder zentraler Fachverfahren, auf erhöhten Schutzbedarf.