§ ISMS
NIS2-ISMS - Demonstration

Benutzer-Werkzeuge

Webseiten-Werkzeuge

Seitenleiste

Inhaltsverzeichnis

Umsetzungsstatus

Diese Seite zeigt den aktuellen Bearbeitungsstand aller Maßnahmen. Der Status wird ausschließlich auf der jeweiligen Maßnahmenseite gepflegt und hier automatisch zusammengeführt.

Anzeige Bedeutung
ohne Symbol nicht relevant / entbehrlich; Begründung erforderlich
Status offen
Status identifiziert / bewertet
Status geplant
Status in Umsetzung
Status umgesetzt / wirksam

Die Sterne verdichten den Arbeitsstand. Für Entscheidungen sind immer die Erwartungshaltung, der aktuelle Stand, offene Schritte und Nachweise auf der verlinkten Maßnahmenseite zu prüfen.

Gesamtübersicht

MaßnahmeFortschritt
1.1.1 Sicherheitskonzept inhaltlich festlegen5 Sterne
1.1.2 Sicherheitskonzept regelmäßig überprüfen4 Sterne
1.2.1 Verantwortlichkeiten und Weisungsbefugnisse festlegen4 Sterne
1.2.2 Sicherheitsvorgaben für Mitarbeitende und Dritte verbindlich machen3 Sterne
1.2.3 Direkte Sicherheitsverantwortung gegenüber den Leitungsorganen benennen2 Sterne
1.2.4 Spezielle Sicherheitsrollen und -aufgaben einrichten5 Sterne
1.2.5 Widersprechende Pflichten und Verantwortlichkeiten trennen5 Sterne
1.2.6 Rollen und Befugnisse regelmäßig überprüfen3 Sterne
2.1.1 Risikomanagementrahmen einführen und aufrechterhalten2 Sterne
2.1.2 Risikomanagementverfahren festlegen und dokumentieren2 Sterne
2.1.3 Risikobehandlungsoptionen risikobasiert priorisieren5 Sterne
2.1.4 Risikobewertung und Risikobehandlungsplan regelmäßig aktualisieren2 Sterne
2.2.1 Einhaltung der Sicherheitsvorgaben regelmäßig überprüfen4 Sterne
2.2.2 Berichtssystem zur Einhaltung einrichten4 Sterne
2.2.3 Maßnahmen zur Überwachung der Einhaltung durchführen5 Sterne
2.3.1 Sicherheitsmanagement unabhängig überprüfen4 Sterne
2.3.2 Verfahren für unabhängige Überprüfungen festlegen4 Sterne
2.3.3 Prüfergebnisse berichten und Korrekturmaßnahmen einleiten3 Sterne
2.3.4 Unabhängige Überprüfungen regelmäßig durchführen2 Sterne
3.1.1 Konzept zur Bewältigung von Sicherheitsvorfällen festlegen3 Sterne
3.1.2 Inhalte des Konzepts zur Vorfallbewältigung festlegen2 Sterne
3.1.3 Rollen und Verfahren der Vorfallbewältigung testen und aktualisieren2 Sterne
3.2.1 Systemaktivitäten überwachen und protokollieren2 Sterne
3.2.2 Überwachung automatisieren und Fehlmeldungen minimieren3 Sterne
3.2.3 Umfang und Inhalte der Protokollierung festlegen2 Sterne
3.2.4 Protokolle auswerten und Alarmierung sicherstellen4 Sterne
3.2.5 Protokolle aufbewahren und schützen2 Sterne
3.2.6 Zeitsynchronisation und Verfügbarkeit der Protokollierung sicherstellen5 Sterne
3.2.7 Protokollierungsverfahren und erfasste Anlagen regelmäßig überprüfen5 Sterne
3.3.1 Meldemechanismus für verdächtige Ereignisse einrichten5 Sterne
3.3.2 Anbieter, Kunden und Mitarbeitende zum Meldemechanismus informieren2 Sterne
3.4.1 Verdächtige Ereignisse bewerten und klassifizieren3 Sterne
3.4.2 Kriterien und Verfahren zur Ereignisklassifizierung anwenden5 Sterne
3.5.1 Auf Sicherheitsvorfälle zeitnah reagieren3 Sterne
3.5.2 Sicherheitsvorfälle eindämmen, beseitigen und Wiederherstellung einleiten2 Sterne
3.5.3 Kommunikation bei Sicherheitsvorfällen planen4 Sterne
3.5.4 Reaktionstätigkeiten protokollieren und Nachweise sichern2 Sterne
3.5.5 Verfahren zur Vorfallreaktion regelmäßig testen3 Sterne
3.6.1 Nachträgliche Überprüfungen von Sicherheitsvorfällen durchführen3 Sterne
3.6.2 Erkenntnisse aus Sicherheitsvorfällen in Verbesserungen überführen4 Sterne
3.6.3 Durchführung nachträglicher Überprüfungen regelmäßig kontrollieren2 Sterne
4.1.1 Notfallplan zur Aufrechterhaltung und Wiederherstellung festlegen2 Sterne
4.1.2 Inhalte und Wiederherstellungsabläufe des Notfallplans festlegen3 Sterne
4.1.3 Betriebliche Auswirkungen analysieren und Kontinuitätsanforderungen bestimmen4 Sterne
4.1.4 Notfallplan regelmäßig testen und aktualisieren2 Sterne
4.2.1 Datensicherungen und redundante Ressourcen bereitstellen4 Sterne
4.2.2 Sicherungspläne festlegen2 Sterne
4.2.3 Integrität der Sicherungskopien regelmäßig prüfen5 Sterne
4.2.4 Ausreichende Ressourcenredundanz gewährleisten3 Sterne
4.2.5 Ressourcen an Sicherungs- und Redundanzanforderungen ausrichten2 Sterne
4.2.6 Wiederherstellung und Redundanzen regelmäßig testen3 Sterne
4.3.1 Verfahren für das Krisenmanagement festlegen3 Sterne
4.3.2 Rollen, Kommunikation und Sicherheitsmaßnahmen für Krisen festlegen2 Sterne
4.3.3 Behördliche Sicherheitsinformationen verwalten und nutzen4 Sterne
4.3.4 Krisenmanagementplan regelmäßig testen und aktualisieren2 Sterne
5.1.1 Konzept für die Sicherheit der Lieferkette festlegen und umsetzen5 Sterne
5.1.2 Auswahlkriterien für Anbieter und Diensteanbieter festlegen5 Sterne
5.1.3 Koordinierte Risikobewertungen kritischer Lieferketten berücksichtigen3 Sterne
5.1.4 Cybersicherheitsanforderungen vertraglich vereinbaren4 Sterne
5.1.5 Sicherheitskriterien bei Auswahl und Vergabe anwenden4 Sterne
5.1.6 Lieferkettensicherheit und Anbieteränderungen überwachen2 Sterne
5.1.7 Anbieterleistungen, Sicherheitsvorfälle und Risiken überprüfen2 Sterne
5.2 Anbieter- und Diensteanbieterverzeichnis führen2 Sterne
6.1.1 Sicherheitsrisiken beim Erwerb von IKT managen4 Sterne
6.1.2 Sicherheitsanforderungen für den IKT-Erwerb festlegen4 Sterne
6.1.3 Verfahren für den IKT-Erwerb regelmäßig überprüfen3 Sterne
6.2.1 Vorschriften für sichere Entwicklung festlegen und anwenden2 Sterne
6.2.2 Sicherheitsanforderungen im Entwicklungszyklus umsetzen2 Sterne
6.2.3 Sicherheitsvorgaben bei ausgelagerter Entwicklung anwenden4 Sterne
6.2.4 Entwicklungsvorschriften regelmäßig überprüfen4 Sterne
6.3.1 Sichere Konfigurationen festlegen, dokumentieren und überwachen3 Sterne
6.3.2 Sichere Konfigurationen durchsetzen2 Sterne
6.3.3 Konfigurationen regelmäßig überprüfen und aktualisieren4 Sterne
6.4.1 Verfahren für das Änderungsmanagement anwenden4 Sterne
6.4.2 Änderungen dokumentieren, testen und bewerten2 Sterne
6.4.3 Notfalländerungen nachträglich dokumentieren5 Sterne
6.4.4 Änderungsmanagementverfahren regelmäßig überprüfen5 Sterne
6.5.1 Konzept und Verfahren für Sicherheitsprüfungen festlegen5 Sterne
6.5.2 Sicherheitsprüfungen risikobasiert planen und durchführen5 Sterne
6.5.3 Sicherheitsprüfungskonzept regelmäßig überprüfen4 Sterne
6.6.1 Sicherheitspatches kontrolliert und zeitnah anwenden3 Sterne
6.6.2 Verzicht auf Sicherheitspatches dokumentieren und begründen3 Sterne
6.7.1 Netz- und Informationssysteme vor Cyberbedrohungen schützen2 Sterne
6.7.2 Maßnahmen zur Netzwerksicherheit umsetzen3 Sterne
6.7.3 Maßnahmen zur Netzwerksicherheit regelmäßig überprüfen3 Sterne
6.8.1 Systeme und Netze risikobasiert segmentieren3 Sterne
6.8.2 Sicherheitsanforderungen an Netzsegmente und Zonen umsetzen4 Sterne
6.8.3 Netzsegmentierung regelmäßig überprüfen5 Sterne
6.9.1 Systeme vor Schadsoftware und nicht genehmigter Software schützen5 Sterne
6.9.2 Schadsoftware und nicht genehmigte Software erkennen und verhindern4 Sterne
6.10.1 Technische Schwachstellen identifizieren und behandeln4 Sterne
6.10.2 Verfahren für das Schwachstellenmanagement umsetzen5 Sterne
6.10.3 Schwachstellenminderung planen oder Verzicht begründen3 Sterne
6.10.4 Informationskanäle zu Schwachstellen regelmäßig überprüfen5 Sterne
7.1 Wirksamkeitsbewertung von Cybersicherheitsmaßnahmen festlegen4 Sterne
7.2 Überwachung und Messung der Maßnahmenwirksamkeit bestimmen3 Sterne
7.3 Verfahren zur Wirksamkeitsbewertung regelmäßig überprüfen3 Sterne
8.1.1 Bewusstsein für Cyberrisiken und Cyberhygiene sicherstellen2 Sterne
8.1.2 Sensibilisierungsprogramm einführen und durchführen3 Sterne
8.1.3 Wirksamkeit des Sensibilisierungsprogramms prüfen und aktualisieren5 Sterne
8.2.1 Sicherheitsrelevante Rollen ermitteln und regelmäßig schulen4 Sterne
8.2.2 Rollenbezogenes Schulungsprogramm einführen2 Sterne
8.2.3 Schulungsinhalte festlegen und Wirksamkeit bewerten4 Sterne
8.2.4 Mitarbeitende bei Wechsel in sicherheitsrelevante Rollen schulen2 Sterne
8.2.5 Schulungsprogramm regelmäßig aktualisieren und durchführen3 Sterne
9.1 Konzept und Verfahren für Kryptografie festlegen5 Sterne
9.2 Kryptografische Maßnahmen und Schlüsselmanagement regeln4 Sterne
9.3 Kryptografiekonzept regelmäßig überprüfen4 Sterne
10.1.1 Sicherheitsverantwortung von Personal und Anbietern verbindlich machen2 Sterne
10.1.2 Verständnis und Einhaltung der Sicherheitsverantwortung sicherstellen3 Sterne
10.1.3 Rollen- und Ressourcenzuweisung regelmäßig überprüfen3 Sterne
10.2.1 Zuverlässigkeitsüberprüfungen risikobasiert durchführen4 Sterne
10.2.2 Kriterien und Ablauf für Zuverlässigkeitsüberprüfungen festlegen3 Sterne
10.2.3 Konzept für Zuverlässigkeitsüberprüfungen regelmäßig aktualisieren4 Sterne
10.3.1 Fortgeltende Sicherheitspflichten vertraglich festlegen3 Sterne
10.3.2 Fortgeltende Pflichten in Vertragsbedingungen aufnehmen2 Sterne
10.4.1 Disziplinarverfahren bei Sicherheitsverstößen einführen2 Sterne
10.4.2 Disziplinarverfahren regelmäßig überprüfen5 Sterne
11.1.1 Konzepte für logische und physische Zugriffskontrolle festlegen3 Sterne
11.1.2 Geltungsbereich und Authentifizierung der Zugriffskontrolle bestimmen5 Sterne
11.1.3 Zugriffskontrollkonzepte regelmäßig überprüfen2 Sterne
11.2.1 Zugangs- und Zugriffsrechte verwalten und dokumentieren5 Sterne
11.2.2 Grundsätze für die Vergabe und Entziehung von Rechten anwenden5 Sterne
11.2.3 Zugangs- und Zugriffsrechte regelmäßig überprüfen3 Sterne
11.3.1 Privilegierte Konten und Verwaltungskonten geregelt verwalten5 Sterne
11.3.2 Sicherheitsanforderungen für privilegierte Konten umsetzen4 Sterne
11.3.3 Privilegierte Zugriffsrechte regelmäßig überprüfen5 Sterne
11.4.1 Nutzung von Systemverwaltungssystemen beschränken und kontrollieren5 Sterne
11.4.2 Systemverwaltungssysteme trennen und schützen2 Sterne
11.5.1 Identitätslebenszyklus vollständig verwalten5 Sterne
11.5.2 Eindeutige Kennungen einrichten und überwachen3 Sterne
11.5.3 Gemeinsam genutzte Kennungen kontrolliert genehmigen4 Sterne
11.5.4 Kennungen regelmäßig überprüfen und deaktivieren5 Sterne
11.6.1 Sichere Authentifizierungsverfahren einsetzen2 Sterne
11.6.2 Authentifizierungsinformationen sicher verwalten2 Sterne
11.6.3 Moderne risikogerechte Authentifizierungsmethoden verwenden5 Sterne
11.6.4 Authentifizierungsverfahren regelmäßig überprüfen4 Sterne
11.7.1 Mehrfaktor- oder kontinuierliche Authentifizierung einsetzen3 Sterne
11.7.2 Authentifizierungsstärke an die Schutzklasse anpassen2 Sterne
12.1.1 Schutzklassen für Anlagen, Werte und Informationen festlegen4 Sterne
12.1.2 Klassifizierungssystem einführen und Werte zuordnen5 Sterne
12.1.3 Klassifizierungsstufen regelmäßig überprüfen4 Sterne
12.2.1 Konzept zur sicheren Behandlung von Anlagen und Werten festlegen3 Sterne
12.2.2 Sichere Behandlung über den gesamten Lebenszyklus regeln4 Sterne
12.2.3 Behandlungskonzept regelmäßig überprüfen3 Sterne
12.3.1 Konzept für das Management von Wechseldatenträgern festlegen2 Sterne
12.3.2 Wechseldatenträger technisch kontrollieren und schützen3 Sterne
12.3.3 Wechseldatenträgerkonzept regelmäßig überprüfen5 Sterne
12.4.1 Vollständiges Anlagen- und Werteinventar führen2 Sterne
12.4.2 Inhalt und Granularität des Inventars festlegen2 Sterne
12.4.3 Inventar regelmäßig aktualisieren und Änderungen dokumentieren4 Sterne
12.5 Anlagen und Werte bei Vertragsende zurückgeben oder löschen3 Sterne
13.1.1 Ausfälle unterstützender Versorgungsleistungen beherrschen4 Sterne
13.1.2 Schutz und Redundanz der Versorgungsleistungen sicherstellen4 Sterne
13.1.3 Schutzmaßnahmen für Versorgungsleistungen regelmäßig testen4 Sterne
13.2.1 Folgen physischer und umgebungsbezogener Bedrohungen begrenzen2 Sterne
13.2.2 Umgebungsschutz und Kontrollwerte festlegen und überwachen3 Sterne
13.2.3 Schutzmaßnahmen gegen Umgebungsbedrohungen regelmäßig testen3 Sterne
13.3.1 Unbefugten physischen Zutritt verhindern und überwachen4 Sterne
13.3.2 Sicherheitsperimeter und physische Zutrittskontrollen umsetzen2 Sterne
13.3.3 Physische Zutrittskontrollen regelmäßig testen4 Sterne

Auswertung

Für Managementberichte werden insbesondere offene und überfällige Entscheidungen, Maßnahmen mit hoher Priorität, fehlende Verantwortlichkeiten, unzureichende Nachweise und noch nicht bestätigte Wirksamkeit betrachtet. Siehe Berichte.

nis2/status.txt · Zuletzt geändert: von 127.0.0.1

Seiten-Werkzeuge

Donate Powered by PHP Valid HTML5 Valid CSS Driven by DokuWiki Driven by WW-A