GC.6.1 — Festlegung von Zielen für die Informationssicherheit
MUSS
Security level: normal-SdT
Effort 0
BSI-Methodik-Grundschutz-plus-plus
Statement (Anforderung)
Governance und Compliance MUSS konkrete und messbare Ziele für die Informationssicherheit auf Basis der identifizierten Rahmenbedingungen festlegen.
Guidance (Erläuterung)
Die Ziele sollten Bezug zu den Geschäftszielen der Institution aufweisen und müssen messbar und konkret sein, z. B.: 98% der aktiven Endgeräte im Netzwerk der Institution verfügen über eine aktuelle Antivirensoftware, deren Signaturdatenbank nicht älter als 24 Stunden ist. Die Ziele sollten die Anforderungen der interessierten Parteien sowie den Kontext berücksichtigen.
Statement properties
| Name | Value |
|---|---|
| documentation | Informationssicherheitsstrategie |
| result | konkrete und messbare Ziele für die Informationssicherheit |
| result_specification | auf Basis der identifizierten Rahmenbedingungen |
| action_word | festlegen |
| modal_verb | MUSS |
Control properties
| Name | Value |
|---|---|
| alt-identifier | 551fec73-dce4-4f34-b41d-555142b09cf7 |
| sec_level | normal-SdT |
| effort_level | 0 |
Sub-controls
Raw OSCAL JSON (complete control)
{
"class": "BSI-Methodik-Grundschutz-plus-plus",
"controls": [
{
"class": "BSI-Methodik-Grundschutz-plus-plus",
"id": "GC.6.1.1",
"links": [
{
"href": "#GC.6.1",
"rel": "required"
}
],
"parts": [
{
"id": "GC.6.1.1_stm",
"name": "statement",
"props": [
{
"name": "documentation",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv",
"value": "Informationssicherheitsstrategie"
},
{
"name": "result",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv",
"value": "eine grundlegende Strategie zur Erreichung der Ziele für die Informationssicherheit"
},
{
"name": "result_specification",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv",
"value": "gemeinsam mit der Institutionsleitung"
},
{
"name": "action_word",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv",
"value": "festlegen"
},
{
"name": "modal_verb",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv",
"value": "SOLLTE"
}
],
"prose": "Governance und Compliance SOLLTE eine grundlegende Strategie zur Erreichung der Ziele für die Informationssicherheit gemeinsam mit der Institutionsleitung festlegen."
},
{
"id": "GC.6.1.1_gdn",
"name": "guidance",
"prose": "Die Sicherheitsstrategie legt fest, wie die Organisation die Ziele erreichen möchte und fokussiert inbesondere den übergeordneten Ansatz und die Prinzipien."
}
],
"props": [
{
"name": "alt-identifier",
"value": "a13fb400-1756-4708-b212-502d284c4308"
},
{
"name": "sec_level",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv",
"value": "normal-SdT"
},
{
"name": "effort_level",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv",
"value": "3"
}
],
"title": "Festlegung einer Sicherheitsstrategie"
},
{
"class": "BSI-Methodik-Grundschutz-plus-plus",
"id": "GC.6.1.2",
"parts": [
{
"id": "GC.6.1.2_stm",
"name": "statement",
"props": [
{
"name": "documentation",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv",
"value": "Leitungsentscheidung"
},
{
"name": "result",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv",
"value": "die Verpflichtung der Institutionsleitung"
},
{
"name": "result_specification",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv",
"value": "formal"
},
{
"name": "action_word",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv",
"value": "zuweisen"
},
{
"name": "modal_verb",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv",
"value": "MUSS"
}
],
"prose": "Governance und Compliance MUSS die Verpflichtung der Institutionsleitung formal zuweisen."
},
{
"id": "GC.6.1.2_gdn",
"name": "guidance",
"prose": "Die Verpflichtung der Institutionsleitung beinhaltet die Übernahme der Gesamtverantwortung, die Bestätigung und Überwachung der Informationssicherheitsziele bezüglich der Organisationsziele und die Förderung des ISMS. Die Förderung des ISMS erfolgt durch Beteiligung (z. B. Führungsentscheidungen), Bestätigung der Informationssicherheitsorganisation, Unterstützung der Integration des ISMS, Bereitstellung von Ressourcen (z. B. finanzielle, personelle, technische, infrastrukturelle) und die Unterstützung der kontinuierlichen Verbesserung."
}
],
"props": [
{
"name": "alt-identifier",
"value": "8b3ae6fa-4bd0-4d81-babe-7792c63b9989"
},
{
"name": "sec_level",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv",
"value": "normal-SdT"
},
{
"name": "effort_level",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv",
"value": "0"
},
{
"name": "tags",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv",
"value": "Führungsverantwortung"
}
],
"title": "Verpflichtung der Institutionsleitung"
},
{
"class": "BSI-Methodik-Grundschutz-plus-plus",
"id": "GC.6.1.3",
"parts": [
{
"id": "GC.6.1.3_stm",
"name": "statement",
"props": [
{
"name": "documentation",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv",
"value": "Informationssicherheitsleitlinie"
},
{
"name": "result",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv",
"value": "eine für die Institution passende Sicherheitsleitlinie"
},
{
"name": "action_word",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv",
"value": "festlegen"
},
{
"name": "modal_verb",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv",
"value": "MUSS"
}
],
"prose": "Governance und Compliance MUSS eine für die Institution passende Sicherheitsleitlinie festlegen."
},
{
"id": "GC.6.1.3_gdn",
"name": "guidance",
"prose": "Die Sicherheitsleitlinie ist ein zentrales Dokument, welches an alle Mitarbeitenden kommuniziert werden muss. Sie dient als Orientierung für alle sicherheitsrelevanten Entscheidungen und Aktivitäten und fördern ein gemeinsames Verständnis der Bedeutung und Ausrichtung der Informationssicherheit. Die Leitlinie für Informationssicherheit enthält insbesondere die Gesamtverantwortung und Verpflichtung der Institutionsleitung, Informationssicherheitsziele, eine Informationssicherheitsstrategie, die Benennung der Rollen und Zuständigkeiten sowie die Verpflichtung zur kontinuierlichen Verbesserung."
}
],
"props": [
{
"name": "alt-identifier",
"value": "af7b68e3-ac36-4876-a1ea-80d38407f1c1"
},
{
"name": "sec_level",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv",
"value": "normal-SdT"
},
{
"name": "effort_level",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv",
"value": "0"
}
],
"title": "Erstellung einer Sicherheitsleitlinie"
},
{
"class": "BSI-Methodik-Grundschutz-plus-plus",
"id": "GC.6.1.4",
"links": [
{
"href": "#GC.6.1.3",
"rel": "required"
}
],
"parts": [
{
"id": "GC.6.1.4_stm",
"name": "statement",
"props": [
{
"name": "documentation",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv",
"value": "Informationssicherheitsleitlinie"
},
{
"name": "result",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv",
"value": "die festgelegte Sicherheitsleitlinie"
},
{
"name": "result_specification",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv",
"value": "durch die Institutionsleitung"
},
{
"name": "action_word",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv",
"value": "autorisieren"
},
{
"name": "modal_verb",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv",
"value": "MUSS"
}
],
"prose": "Governance und Compliance MUSS die festgelegte Sicherheitsleitlinie durch die Institutionsleitung autorisieren."
}
],
"props": [
{
"name": "alt-identifier",
"value": "230dbdf5-8328-4629-8734-1b2f4288d5eb"
},
{
"name": "sec_level",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv",
"value": "normal-SdT"
},
{
"name": "effort_level",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv",
"value": "0"
},
{
"name": "tags",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv",
"value": "Führungsverantwortung"
}
],
"title": "Freigabe der Sicherheitsleitlinie"
}
],
"id": "GC.6.1",
"parts": [
{
"id": "GC.6.1_stm",
"name": "statement",
"props": [
{
"name": "documentation",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv",
"value": "Informationssicherheitsstrategie"
},
{
"name": "result",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv",
"value": "konkrete und messbare Ziele für die Informationssicherheit"
},
{
"name": "result_specification",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv",
"value": "auf Basis der identifizierten Rahmenbedingungen"
},
{
"name": "action_word",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv",
"value": "festlegen"
},
{
"name": "modal_verb",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv",
"value": "MUSS"
}
],
"prose": "Governance und Compliance MUSS konkrete und messbare Ziele für die Informationssicherheit auf Basis der identifizierten Rahmenbedingungen festlegen."
},
{
"id": "GC.6.1_gdn",
"name": "guidance",
"prose": "Die Ziele sollten Bezug zu den Geschäftszielen der Institution aufweisen und müssen messbar und konkret sein, z. B.: 98% der aktiven Endgeräte im Netzwerk der Institution verfügen über eine aktuelle Antivirensoftware, deren Signaturdatenbank nicht älter als 24 Stunden ist. Die Ziele sollten die Anforderungen der interessierten Parteien sowie den Kontext berücksichtigen."
}
],
"props": [
{
"name": "alt-identifier",
"value": "551fec73-dce4-4f34-b41d-555142b09cf7"
},
{
"name": "sec_level",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv",
"value": "normal-SdT"
},
{
"name": "effort_level",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv",
"value": "0"
}
],
"title": "Festlegung von Zielen für die Informationssicherheit"
}