Controls

Aus DIGITALPRINZIP Inh. F. Stief
Zur Navigation springen Zur Suche springen

Die deutsche Normfassung spricht hier in der dt. Fassung von Maßnahmen, es handelt sich aber um einzelne Sicherheitsanforderungen, die eine Organisation zu erfüllen hat. Immer dann, wenn sie im geschäftlichen Umfeld relevant ist.
Sollten Controls für meine Organisation irrelevant sein, so muss ich das zum Mindes begründen. Vgl. Buch - Abschnitt 8.2
Beispiele für solche Maßnahmen sind in der ISO27002 zu finden. Ggf. können auch die Kataloge des IT-Grundschutzes oder das Grundschutz-Kompendium verwendet werden.
Streng genommen muss man die 114 Controls für jedes Asset aus der Inventarisierung abarbeiten. Das verursacht einen erheblichen Aufwand. Hat man jedoch bei der Inventarisierung eine Hierarchie mit Top Level Assets und Ressourcen eingeführt, kann man die Vorgehensweise vereinfachen:
Die Praxis hat gezeigt, dass es ausreicht, die Controls für die einzlenen Top Level Assets durchzuspielen - was fast immer eine überschaubre Liste darstellt.

Die praktische Vorgehensweise sieht nun so aus, das eine Ta