Sie befinden sich hier: Themen IT-Grundschutz-Kataloge. Inhalt. Dokumententitel: M 2.200 Managementreporte und -bewertungen der IT-Sicherheit - IT-Grundschutz-Kataloge - Stand 2006
direkt zu der Navigation Servicebereich. direkt zu der Hauptnavigation. direkt zur Themennavigation. direkt zum Seiteninhalt.

M 2.200 Managementreporte und -bewertungen der IT-Sicherheit

Verantwortlich für Initiierung: IT-Sicherheitsmanagement-Team, IT-Sicherheitsbeauftragter,

Verantwortlich für Umsetzung: IT-Sicherheitsmanagement-Team, Behörden-/Unternehmensleitung

Zu den Aufgaben des IT-Sicherheitsbeauftragten gehört es, die Behörden- oder Unternehmensleitung bei der Wahrnehmung ihrer Gesamtverantwortung für die IT-Sicherheit zu unterstützen. Eine wichtige Grundlage für die zu treffenden Entscheidungen sind übersichtliche und aussagekräftige Informationen zur aktuellen Lage der IT-Sicherheit in der Institution.

Um den IT-Sicherheitsprozess zu steuern und aufrecht zu erhalten, muss mindestens einmal im Jahr eine Managementbewertung der IT-Sicherheit durchgeführt werden. Ziel der Managementbewertung der IT-Sicherheit ist, das weitere Vorgehen im IT-Sicherheitsprozess mit der Leitungsebene abzustimmen. Die Managementreporte dienen dabei als Entscheidungsgrundlage für die Managementbewertung.

In der Managementbewertung müssen alle erforderlichen Änderungen am Sicherheitsprozess aufgezeigt und festgelegt werden, beispielsweise in den Sicherheitszielen oder der Sicherheitsleitlinie. Alle Ergebnisse der Managementbewertung müssen dokumentiert und Aufzeichnungen gepflegt werden.

Managementreporte

Grundsätzlich ist zwischen zwei verschiedenen Formen von Managementreporten zu unterscheiden:

Regelmäßige Managementreporte

Durch regelmäßige Managementreporte wird sichergestellt, dass die Leitungsebene die Informationen erhält, die sie zur Managementbewertung benötigt.

Ein Managementreport IT-Sicherheit sollte aufzeigen:

Daneben sollte auch ein Ausblick auf die zu erwartende Weiterentwicklung der organisationsweiten IT-Sicherheit gegeben werden und es sollte dargestellt werden, ob es technische Entwicklungen oder Verfahrensweisen gibt, die zur Verbesserung des IT-Sicherheitsprozesses beitragen können.

Anlassbezogene Managementreporte

Neben den regelmäßigen Managementreporten kann es auch notwendig sein, bei überraschend auftretenden IT-Sicherheitsproblemen oder aufgrund von Risiken, die aus neuen technischen Entwicklungen resultieren, anlassbezogene Managementreporte zu erstellen. Dies ist vor allem dann der Fall, wenn sich herausstellt, dass diese Probleme nicht auf der Arbeitsebene beseitigt werden können, weil z. B. materielle Ressourcen außerhalb des bewilligten Rahmens benötigt werden oder weitergehende personelle Regelungen getroffen werden müssen.

Immer wieder erregen IT-Sicherheitsvorfälle wie globale Computer-Virenattacken die Aufmerksamkeit der Massenmedien. Es hat sich als sinnvoll erwiesen, auch in diesen Fällen Managementreporte zu erstellen, um aufzuzeigen, inwieweit die eigene Organisation von diesen Sicherheitsvorfällen betroffen wurde. Auch wenn sich die IT-Sicherheitslage ändert (z. B. neue Bedrohungen, neue Technologien, neue Gesetze) kann ein anlassbezogener Managementreport sinnvoll sein.

Bei der Abfassung der Managementreporte sollte berücksichtigt werden, dass sich der Leserkreis in der Regel nicht aus technischen Experten zusammensetzt. Entsprechend sollte sich der Text durch größtmögliche Verständlichkeit und Knappheit auszeichnen. Es sollten also gezielt die wesentlichen Punkte, insbesondere also bestehende Schwachstellen, aber auch erreichte Erfolge, herausgearbeitet werden.

Zum Abschluss des Managementreports, vor allem bei anlassbezogenen Berichten, sollten immer klar priorisierte und mit realistischen Abschätzungen des zu erwartenden Umsetzungsaufwands versehene Maßnahmenvorschläge stehen. Hierdurch wird sichergestellt, dass eine notwendige Entscheidung der Leitungsebene ohne unnötige Verzögerungen herbeigeführt werden kann.

Wenn irgend möglich, sollte der Managementreport zur IT-Sicherheit der Leitungsebene nicht nur schriftlich unterbreitet, sondern auch durch ein Mitglied des IT-Sicherheitsmanagement-Teams präsentiert werden. Eine solche persönliche Übergabe eröffnet zum einen die Möglichkeit, auf wesentliche Schwerpunkte, insbesondere auf bestehende oder drohende Sicherheitsmängel mit besonderem Nachdruck hinzuweisen. Zum anderen steht der anwesende IT-Sicherheitsverantwortliche auch direkt für Nachfragen oder weitergehende Erläuterungen zur Verfügung, was wiederum erfahrungsgemäß zu einer Beschleunigung des Entscheidungsvorgangs führt. Nicht zuletzt bietet ein solcher persönlicher Kontakt die Möglichkeit, einen "kleinen Dienstweg" zu

etablieren, dessen Existenz sich in dringenden Notfällen als sehr hilfreich erweisen kann. Alternativ bzw. ergänzend zur persönlichen Präsentation des Managementreports sollte überlegt werden, ob ein Mitglied der Leitungsebene des Unternehmens oder der Behörde mit entsprechendem fachlichen Hintergrund und Interesse vorab als Ansprechpartner zur Verfügung steht. Auch so können Leitungsentscheidungen besser vorbereitet und Probleme schon im Voraus entschärft werden.

Managementbewertung

In der Managementbewertung werden auf Grundlage des Managementreports Entscheidungen hinsichtlich der weiteren Vorgehensweise in Bezug auf den IT-Sicherheitsprozess getroffen. Dabei wird die Behörden- oder Unternehmensleitung gegebenenfalls vom IT-Sicherheitsbeauftragten unterstützt.

Die Managementbewertung sollte Entscheidungen zu folgenden Punkten vorbereiten und dokumentieren:

Zur kontinuierlichen Verfolgung des IT-Sicherheitsprozesses sollten sämtliche Managementreporte und Managementbewertungen zur IT-Sicherheit zusammen mit Vermerken über die getroffenen Entscheidungen in geordneter Weise archiviert werden. Diese Dokumentation sollte den Verantwortlichen bei Bedarf kurzfristig zugänglich sein (siehe M 2.201 Dokumentation des IT-Sicherheitsprozesses).

Da die Managementreporte zur IT-Sicherheit im Allgemeinen sensitive Informationen über bestehende Sicherheitslücken und Restrisiken enthalten, ist deren Vertraulichkeit zu schützen. Es müssen angemessene Schutzvorkehrungen getroffen werden, damit keine unbefugten Personen Kenntnis über den Inhalt der Managementreporte erlangen.

Ergänzende Kontrollfragen: