Grundprinzipien des IT-Grundschutzes erlernen
Der BSI-IT-Grundschutz gehört zu den etabliertesten Methoden für den systematischen Aufbau eines Informationssicherheitsmanagements (ISMS) und bietet Organisationen einen strukturierten Rahmen zur Identifikation, Bewertung und Behandlung von Informationssicherheitsrisiken. Diese praxisorientierte Inhouse-Schulung vermittelt einen fundierten Einstieg in die Methodik des BSI-IT-Grundschutzes und zeigt, wie dessen Anforderungen effizient in bestehende Organisations- und IT-Strukturen integriert werden können.
Der Titel »BSI-IT-Grundschutz++« ist bewusst gewählt, denn die Schulung geht über die reine Methodik hinaus und auch Themen wie ISMS-Einbettung, organisatorische Umsetzung, Best Practices sowie regulatorische Bezüge (z. B. ISO/IEC 27001, NIS2 oder KRITIS) werden berücksichtigt. Dadurch ist das Angebot umfassender als ein klassischer Grundschutz-Einstieg.
Im Mittelpunkt der Schulung stehen die Grundprinzipien des IT-Grundschutzes sowie deren praktische Anwendung. Die Teilnehmenden lernen die Struktur und das Zusammenspiel der BSI-Standards kennen und erhalten einen umfassenden Überblick über das IT-Grundschutz-Kompendium als zentrales Arbeitsinstrument für die Umsetzung von Sicherheitsmaßnahmen. Dabei wird erläutert, wie Bausteine ausgewählt, Anforderungen interpretiert und geeignete Maßnahmen auf die individuellen Gegebenheiten einer Organisation übertragen werden.
Ein wesentlicher Bestandteil der Schulung ist die schrittweise Umsetzung der Grundschutz-Methodik. Beginnend mit der Strukturanalyse werden Geschäftsprozesse, Informationen, Anwendungen, IT-Systeme und Netze systematisch erfasst und in Beziehung gesetzt. Darauf aufbauend lernen die Teilnehmenden, den Schutzbedarf von Informationen und Geschäftsprozessen zu bestimmen sowie die Auswirkungen möglicher Sicherheitsvorfälle hinsichtlich Vertraulichkeit, Integrität und Verfügbarkeit realistisch zu bewerten.
Darüber hinaus wird vermittelt, wie Risiken identifiziert, analysiert und bewertet werden können und wann eine ergänzende Risikoanalyse nach BSI erforderlich ist. Die Teilnehmenden erfahren, wie geeignete Sicherheitsmaßnahmen ausgewählt, priorisiert und dokumentiert werden und wie sich daraus ein nachvollziehbarer Umsetzungsplan entwickeln lässt. Dabei werden auch typische Herausforderungen bei der Einführung des IT-Grundschutzes sowie bewährte Vorgehensweisen aus der Praxis behandelt.
Ein weiterer Schwerpunkt liegt auf der Einordnung des IT-Grundschutzes in ein ganzheitliches Informationssicherheitsmanagementsystem. Die Schulung zeigt auf, wie sich der BSI-IT-Grundschutz mit organisatorischen Prozessen, Governance-Strukturen und kontinuierlichen Verbesserungsprozessen verbinden lässt und welche Rollen, Verantwortlichkeiten und Dokumentationen für den langfristigen Betrieb eines ISMS erforderlich sind. Darüber hinaus werden Bezüge zu aktuellen regulatorischen Anforderungen und etablierten Standards hergestellt, um die Einordnung des BSI-IT-Grundschutzes in den Gesamtkontext der Informationssicherheit zu erleichtern.
Die Inhalte werden durch zahlreiche Praxisbeispiele, Fallstudien und Übungen ergänzt. Die Teilnehmenden wenden die einzelnen Schritte der Grundschutz-Methodik anhand realistischer Szenarien an und entwickeln erste Lösungsansätze für die Umsetzung in ihrer eigenen Organisation. Dadurch entsteht ein unmittelbarer Praxisbezug, der den Transfer des Erlernten in den Arbeitsalltag erleichtert.
Ziele der Schulung
Nach der Veranstaltung sind die Teilnehmenden in der Lage,
- Aufbau, Struktur und Zielsetzung des BSI-IT-Grundschutzes sicher einzuordnen,
- die BSI-Standards und das IT-Grundschutz-Kompendium zielgerichtet anzuwenden,
- Strukturanalysen und Schutzbedarfsfeststellungen methodisch durchzuführen,
- Risiken nach den Vorgaben des BSI zu identifizieren und zu bewerten,
- geeignete Sicherheitsmaßnahmen auszuwählen, zu priorisieren und zu dokumentieren,
- Umsetzungspläne für die Einführung oder Weiterentwicklung des IT-Grundschutzes zu erstellen,
- den IT-Grundschutz in ein bestehendes oder neu aufzubauendes Informationssicherheitsmanagementsystem (ISMS) zu integrieren sowie
- organisatorische und technische Maßnahmen nachhaltig in den Sicherheitsprozess der eigenen Organisation einzubinden.
Inhalte
- Grundlagen des BSI-IT-Grundschutzes
- Aufbau und Anwendung der BSI-Standards
- Arbeiten mit dem IT-Grundschutz-Kompendium
- Einführung in den IT-Grundschutz-Prozess
- Strukturanalyse und Modellierung von Informationsverbünden
- Schutzbedarfsfeststellung für Informationen, Anwendungen und IT-Systeme
- Basis-, Standard- und Kernabsicherung
- Risikoanalyse nach BSI
- Auswahl und Priorisierung geeigneter Sicherheitsmaßnahmen
- Dokumentation und Nachweisführung
- Umsetzungsplanung und kontinuierliche Verbesserung
- Rollen, Verantwortlichkeiten und Organisation der Informationssicherheit
- Einbindung des IT-Grundschutzes in ein Informationssicherheitsmanagementsystem (ISMS)
- Praxisbeispiele, Fallstudien und interaktive Übungen
- Typische Herausforderungen und Best Practices bei der Einführung des IT-Grundschutzes
Fraunhofer-Institut für Offene Kommunikationssysteme