GC.5.1 — Vorgehen bei der Infomationssicherheitseinstufung
MUSS
Security level: normal-SdT
Effort 0
BSI-Methodik-Grundschutz-plus-plus
Statement (Anforderung)
Governance und Compliance MUSS ein Verfahren für die Festlegung von Geschäftsprozessen und die Einstufung des Schutzbedarfs dieser Geschäftsprozesse und den hierbei verarbeiteten Informationen verankern.
Guidance (Erläuterung)
Die Informationssicherheitseinstufung dient der systematischen Identifikation des Schutzbedarfs von Geschäftsprozessen und verarbeiteten Informationen. Hierbei wird zwischen dem Schutzbedarf „normal“ und „hoch“ unterschieden. Der prozessorientierte Ansatz stellt die Verbindung zwischen Geschäftsprozessen und Informationen in den Vordergrund.
Statement properties
| Name | Value |
|---|---|
| result | ein Verfahren für die Festlegung von Geschäftsprozessen und die Einstufung des Schutzbedarfs |
| result_specification | dieser Geschäftsprozesse und den hierbei verarbeiteten Informationen |
| action_word | verankern |
| modal_verb | MUSS |
Control properties
| Name | Value |
|---|---|
| alt-identifier | bdbc4d9b-c0d7-4f5a-8e07-ba12b4049625 |
| sec_level | normal-SdT |
| effort_level | 0 |
Sub-controls
Raw OSCAL JSON (complete control)
{
"class": "BSI-Methodik-Grundschutz-plus-plus",
"controls": [
{
"class": "BSI-Methodik-Grundschutz-plus-plus",
"id": "GC.5.1.1",
"links": [
{
"href": "#GC.4.1",
"rel": "related"
}
],
"parts": [
{
"id": "GC.5.1.1_stm",
"name": "statement",
"props": [
{
"name": "documentation",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv",
"value": "Geschäftsprozesse"
},
{
"name": "result",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv",
"value": "die Geschäftsprozesse"
},
{
"name": "result_specification",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv",
"value": "die für den Geltungsbereich relevant sind"
},
{
"name": "action_word",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv",
"value": "festlegen"
},
{
"name": "modal_verb",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv",
"value": "MUSS"
}
],
"prose": "Governance und Compliance MUSS die Geschäftsprozesse die für den Geltungsbereich relevant sind festlegen."
},
{
"id": "GC.5.1.1_gdn",
"name": "guidance",
"prose": "Hierbei kann oft auf bestehende Prozesslandkarten und Managementsysteme zurückgegriffen werden. Besteht noch keine Prozessübersicht in der Institution, so können die technischen und organisatorischen Praktiken als Ausgangsvorschlag für relevante Hilfsprozesse herangezogen werden (siehe Prozessschritt 2 - Anforderungsanalyse)"
}
],
"props": [
{
"name": "alt-identifier",
"value": "b75cea5b-dc1e-4b96-b34a-5053242dabc1"
},
{
"name": "sec_level",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv",
"value": "normal-SdT"
},
{
"name": "effort_level",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv",
"value": "0"
}
],
"title": "Festlegung der Geschäftsprozesse"
},
{
"class": "BSI-Methodik-Grundschutz-plus-plus",
"id": "GC.5.1.2",
"links": [
{
"href": "#GC.5.1.1",
"rel": "required"
}
],
"parts": [
{
"id": "GC.5.1.2_stm",
"name": "statement",
"props": [
{
"name": "documentation",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv",
"value": "Schutzbedarfsfeststellung"
},
{
"name": "result",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv",
"value": "eine Einstufung des Schutzbedarfs der relevanten Geschäftsprozesse und Informationsarten"
},
{
"name": "result_specification",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv",
"value": "unter Berücksichtigung der Geschäftsziele und in Absprache mit der Institutionsleitung"
},
{
"name": "action_word",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv",
"value": "festlegen"
},
{
"name": "modal_verb",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv",
"value": "MUSS"
}
],
"prose": "Governance und Compliance MUSS eine Einstufung des Schutzbedarfs der relevanten Geschäftsprozesse und Informationsarten unter Berücksichtigung der Geschäftsziele und in Absprache mit der Institutionsleitung festlegen."
},
{
"id": "GC.5.1.2_gdn",
"name": "guidance",
"prose": "Das Ergebnis der Schutzbedarfsfeststellung ist eine Übersicht des Schutzbedarfs der zu verarbeitenden Informationen, sowie der Relevanz der Geschäftsprozesse. Die Einstufung erfolgt dabei in den Stufen „normal“ oder „hoch“. Die Einstufung richtet sich nach der Bedeutung des Geschäftsprozess für die Geschäftsziele oder den gesetzlichen Auftrag der Institution. Priorität für die weitere Abarbeitung hat zunächst der wichtigste Geschäftsprozess, d.h. derjenige Geschäftsprozess, dessen Informationsschutz für den Fortbestand der Institution von essentieller Bedeutung ist. Die Entscheidung darüber, welcher Geschäftsprozess am wichtigsten ist, obliegt der Institutionsleitung. Droht bei einer Verletzung der Vertraulichkeit, Integrität oder Verfügbarkeit von Informationen in diesem Geschäftsprozess ein existenzbedrohender finanzieller oder existenzbedrohender Reputationsschaden, so ist der Schutzbedarf des Prozesses als hoch einzustufen. Das gleiche gilt, wenn innerhalb eines Geschäftsprozesses Informationen verarbeitet werden, die als besonders vertraulich eingestuft werden."
}
],
"props": [
{
"name": "alt-identifier",
"value": "7a951196-bf44-463f-91b6-8cf140c97e4c"
},
{
"name": "sec_level",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv",
"value": "normal-SdT"
},
{
"name": "effort_level",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv",
"value": "0"
}
],
"title": "Festlegung des Schutzbedarfs"
},
{
"class": "BSI-Methodik-Grundschutz-plus-plus",
"id": "GC.5.1.3",
"links": [
{
"href": "#GC.5.1.2",
"rel": "required"
}
],
"parts": [
{
"id": "GC.5.1.3_stm",
"name": "statement",
"props": [
{
"name": "documentation",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv",
"value": "Risikobewertung"
},
{
"name": "result",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv",
"value": "eine dedizierte Risikobetrachtung von Geschäftsprozessen oder Informationsarten mit hohem Schutzbedarf"
},
{
"name": "action_word",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv",
"value": "ausführen"
},
{
"name": "modal_verb",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv",
"value": "MUSS"
}
],
"prose": "Governance und Compliance MUSS eine dedizierte Risikobetrachtung von Geschäftsprozessen oder Informationsarten mit hohem Schutzbedarf ausführen."
},
{
"id": "GC.5.1.3_gdn",
"name": "guidance",
"prose": "In einem separaten Dokument zur Risikobetrachtung werden verbindliche Vorgaben an die Risikomethodik vorgeschrieben."
}
],
"props": [
{
"name": "alt-identifier",
"value": "c86010f0-6e07-429a-a203-529ebdc6c99a"
},
{
"name": "sec_level",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv",
"value": "normal-SdT"
},
{
"name": "effort_level",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv",
"value": "0"
}
],
"title": "Geschäftsprozesse mit hohem Schutzbedarf"
}
],
"id": "GC.5.1",
"parts": [
{
"id": "GC.5.1_stm",
"name": "statement",
"props": [
{
"name": "result",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv",
"value": "ein Verfahren für die Festlegung von Geschäftsprozessen und die Einstufung des Schutzbedarfs"
},
{
"name": "result_specification",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv",
"value": "dieser Geschäftsprozesse und den hierbei verarbeiteten Informationen"
},
{
"name": "action_word",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv",
"value": "verankern"
},
{
"name": "modal_verb",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv",
"value": "MUSS"
}
],
"prose": "Governance und Compliance MUSS ein Verfahren für die Festlegung von Geschäftsprozessen und die Einstufung des Schutzbedarfs dieser Geschäftsprozesse und den hierbei verarbeiteten Informationen verankern."
},
{
"id": "GC.5.1_gdn",
"name": "guidance",
"prose": "Die Informationssicherheitseinstufung dient der systematischen Identifikation des Schutzbedarfs von Geschäftsprozessen und verarbeiteten Informationen. Hierbei wird zwischen dem Schutzbedarf „normal“ und „hoch“ unterschieden. Der prozessorientierte Ansatz stellt die Verbindung zwischen Geschäftsprozessen und Informationen in den Vordergrund."
}
],
"props": [
{
"name": "alt-identifier",
"value": "bdbc4d9b-c0d7-4f5a-8e07-ba12b4049625"
},
{
"name": "sec_level",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv",
"value": "normal-SdT"
},
{
"name": "effort_level",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv",
"value": "0"
}
],
"title": "Vorgehen bei der Infomationssicherheitseinstufung"
}