{"catalog":{"uuid":"b133fcfa-e65e-48f9-a279-9bfac9f70530","metadata":{"roles":[{"id":"publisher","title":"Publisher"}],"title":"BSI Methodik Grundschutz++","parties":[{"name":"BSI, Grundschutz++","type":"organization","uuid":"5dff913f-5f6c-49b9-b1c8-03f9240589bc","email-addresses":["it-grundschutz@bsi.bund.de"]}],"remarks":"Dieser Katalog enthält die Methodik-Grundschutz++, d.h. das Verfahren zum Aufbau eines ISMS nach Grundschutz++.","version":"0.9","published":"2026-04-20T11:58:14.333366+00:00","document-ids":[{"scheme":"http://oscal.io/oscal/identifier/content-uuid","identifier":"33e5ccc5-02e2-4daf-9b99-ed5a61e69e4b"}],"last-modified":"2026-04-20T11:58:14.333366+00:00","oscal-version":"1.1.3","responsible-parties":[{"role-id":"publisher","party-uuids":["5dff913f-5f6c-49b9-b1c8-03f9240589bc"]}]},"groups":[{"id":"GC","props":[{"name":"label","value":"GC","remarks":"Die Praktik Governance und Compliance stellt sicher, dass Informationssicherheitsstrategien mit den übergeordneten Zielen der Institution und regulatorischen Anforderungen im Einklang stehen. Sie vereint die strategische Steuerung der Informationssicherheit mit der systematischen Identifikation und Integration externer sowie interner Anforderungen.  Diese Praktik definiert den strategischen Rahmen für die Informationssicherheit und beantwortet die Fragen nach dem \"Was\" und \"Warum\" von Anforderungen und Sicherheitsmaßnahmen. Sie gewährleistet die Einbindung der obersten Führungsebene in wichtige Entscheidungen zur Informationssicherheit und stellt sicher, dass alle relevanten gesetzlichen, regulatorischen und vertraglichen Vorgaben identifiziert und berücksichtigt werden.  Während Governance und Compliance die strategische Ausrichtung und die Anforderungen definiert, übernehmen die operativen Praktiken wie Strukturmodellierung und Umsetzung die konkrete Ausgestaltung."},{"name":"alt-identifier","value":"b843af63-e2a3-4dcd-ab8e-fe66dde9b138"}],"title":"Governance und Compliance","groups":[{"id":"GC.1","props":[{"name":"label","value":"1"},{"name":"alt-identifier","value":"94bfadab-43f6-48d7-ac5e-49b8fbcf2794"}],"title":"Grundlagen","controls":[{"id":"GC.1.1","class":"BSI-Methodik-Grundschutz-plus-plus","parts":[{"id":"GC.1.1_stm","name":"statement","props":[{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv","name":"result","value":"Verfahren und Regelungen zur Errichtung und Aufrechterhaltung eines ISMS"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv","name":"result_specification","value":"nach {{einem anerkannten Standard}}"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv","name":"action_word","value":"verankern"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv","name":"modal_verb","value":"MUSS"}],"prose":"Governance und Compliance MUSS Verfahren und Regelungen zur Errichtung und Aufrechterhaltung eines ISMS nach {{ insert: param, gc.1.1-prm1 }} verankern."},{"id":"GC.1.1_gdn","name":"guidance","prose":"Diese Anforderung ist der Ausgangs- und Endpunkt für ein Informationssicherheitsmanagementsystem (ISMS). Ein ISMS besteht aus Verfahren (d.h. bestimmten Abläufen, die mit Zuständigkeiten und Ressourcen versehen sind) und Regelungen (also festgelegten Regeln, die von allen Mitarbeitenden und sonstigen Verpflichteten einzuhalten oder technisch umgesetzt sind). Die Anforderung ist erst dann als erfüllt anzusehen, wenn die komplette Vorgehensweise mindestens einmal vollständig durchlaufen wurde. Unter „etabliert“ bzw. „errichtet“ ist hier zu verstehen, dass die Anforderungen an das ISMS standardkonform umgesetzt wurden. Unter \"aufrechterhalten\" ist hier zu verstehen, dass die Einhaltung der Anforderungen kontinuierlich überprüft wird und bei Bedarf Gegenmaßnahmen eingeleitet werden. Die bei der Festlegung der Verfahren und Regelungen im Einzelnen zu berücksichtigenden Inhalte ergeben sich aus den weiteren Anforderungen dieses Anwenderkataloges."}],"props":[{"name":"alt-identifier","value":"80351189-6ffc-495e-a995-6219b9704724"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv","name":"sec_level","value":"normal-SdT"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv","name":"effort_level","value":"0"}],"title":"Errichtung und Aufrechterhaltung eines ISMS","params":[{"id":"gc.1.1-prm1","label":"einem anerkannten Standard","props":[{"name":"alt-identifier","value":"80351189-6ffc-495e-a995-6219b9704724"}]}]}]},{"id":"GC.2","props":[{"name":"label","value":"2"},{"name":"alt-identifier","value":"a2157d39-b875-4bf8-9967-3c1df94006d2"}],"title":"Festlegung des Kontextes der Institution","controls":[{"id":"GC.2.1","class":"BSI-Methodik-Grundschutz-plus-plus","links":[{"rel":"related","href":"#GC.2.2"}],"parts":[{"id":"GC.2.1_stm","name":"statement","props":[{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv","name":"result","value":"ein Verfahren zur Sammlung, Integration und Priorisierung aller für das Informationssicherheitsmanagement relevanten externen Rahmenbedingungen"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv","name":"action_word","value":"verankern"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv","name":"modal_verb","value":"MUSS"}],"prose":"Governance und Compliance MUSS ein Verfahren zur Sammlung, Integration und Priorisierung aller für das Informationssicherheitsmanagement relevanten externen Rahmenbedingungen verankern."},{"id":"GC.2.1_gdn","name":"guidance","prose":"Analysieren und dokumentieren Sie systematisch alle externen Faktoren, die einen Einfluss auf die Informationssicherheitsziele und -strategie der Institution haben. Dazu zählen insbesondere Faktoren, die von außen auf die Institution einwirken wie z.B. gesellschaftliche und kulturelle Faktoren, die die Erwartungen an die Institution prägen; rechtliche und regulatorische Rahmenbedingungen auf nationaler und internationaler Ebene; technologische Entwicklungen und deren Auswirkungen auf die Informationssicherheit; wirtschaftliche Bedingungen im relevanten Marktumfeld und ökologische und physische Umweltbedingungen am Standort der Institution."}],"props":[{"name":"alt-identifier","value":"7adcac0b-cc2c-43d4-8528-28d78beed631"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv","name":"sec_level","value":"normal-SdT"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv","name":"effort_level","value":"0"}],"title":"Festlegung des externen Kontextes der Institution"},{"id":"GC.2.2","class":"BSI-Methodik-Grundschutz-plus-plus","links":[{"rel":"related","href":"#GC.2.1"}],"parts":[{"id":"GC.2.2_stm","name":"statement","props":[{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv","name":"result","value":"ein Verfahren zur Sammlung, Integration und Priorisierung aller für das Informationssicherheitsmanagement relevanten internen Rahmenbedingungen"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv","name":"action_word","value":"verankern"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv","name":"modal_verb","value":"MUSS"}],"prose":"Governance und Compliance MUSS ein Verfahren zur Sammlung, Integration und Priorisierung aller für das Informationssicherheitsmanagement relevanten internen Rahmenbedingungen verankern."},{"id":"GC.2.2_gdn","name":"guidance","prose":"Analysieren und dokumentieren Sie systematisch alle internen Faktoren, die einen Einfluss auf die Informationssicherheitsziele und -strategie der Institution haben. Dazu zählen institutionseigene Faktoren wie z.B. vorhandene Institutionsstrategien, Werte und Institutionsziele; die Institutionsstruktur mit Hierarchien, Abteilungen und Zuständigkeitsbereichen; die in Ihrer Institution etablierte Prozesse und Arbeitsabläufe; vorhandene IT-Infrastruktur und Informationssysteme und die  Institutionskultur und Einstellungen zur Sicherheit."}],"props":[{"name":"alt-identifier","value":"facd5982-78f3-46d4-ae07-ae1ede72ab46"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv","name":"sec_level","value":"normal-SdT"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv","name":"effort_level","value":"0"}],"title":"Festlegung des internen Kontextes der Institution"}]},{"id":"GC.3","props":[{"name":"label","value":"3"},{"name":"alt-identifier","value":"4b35f8c9-b6f8-490d-859a-056d56c8c538"}],"title":"Analyse der interessierten Parteien","controls":[{"id":"GC.3.1","class":"BSI-Methodik-Grundschutz-plus-plus","links":[{"rel":"related","href":"#GC.3.2"}],"parts":[{"id":"GC.3.1_stm","name":"statement","props":[{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv","name":"result","value":"ein Verfahren zum Ermitteln aller externen interessierten Parteien und ihrer Bedürfnisse und Erwartungen an das Informationssicherheitsmanagement der Institution"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv","name":"action_word","value":"verankern"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv","name":"modal_verb","value":"MUSS"}],"prose":"Governance und Compliance MUSS ein Verfahren zum Ermitteln aller externen interessierten Parteien und ihrer Bedürfnisse und Erwartungen an das Informationssicherheitsmanagement der Institution verankern."},{"id":"GC.3.1_gdn","name":"guidance","prose":"Alle relevanten externen interessierten Parteien sind ermittelt. Die externen interessierten Parteien umfassen beispielsweise: Gesetzgeber, Aufsichtsbehörden, Kunden, Dienstleister, Gesellschaft/Öffentlichkeit. Die Relevanz und Priorität der identifizierten Anforderungen sind zu bewerten und auf Grundlage dessen ist festzulegen, welche dieser Anforderungen als verbindliche Verpflichtungen in das ISMS aufgenommen werden."}],"props":[{"name":"alt-identifier","value":"834c85a0-f793-4d6a-8eba-5f26f38979cd"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv","name":"sec_level","value":"normal-SdT"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv","name":"effort_level","value":"0"}],"title":"Analyse der externen interessierten Parteien"},{"id":"GC.3.2","class":"BSI-Methodik-Grundschutz-plus-plus","links":[{"rel":"related","href":"#GC.3.1"}],"parts":[{"id":"GC.3.2_stm","name":"statement","props":[{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv","name":"result","value":"ein Verfahren zum Ermitteln aller internen interessierten Parteien und ihrer Bedürfnisse und Erwartungen an das Informationssicherheitsmanagement der Institution"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv","name":"action_word","value":"verankern"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv","name":"modal_verb","value":"MUSS"}],"prose":"Governance und Compliance MUSS ein Verfahren zum Ermitteln aller internen interessierten Parteien und ihrer Bedürfnisse und Erwartungen an das Informationssicherheitsmanagement der Institution verankern."},{"id":"GC.3.2_gdn","name":"guidance","prose":"Alle relevanten externen interessierten Parteien sind ermittelt. Die internen interessierten Parteien umfassen beispielsweise: Geschäftsführung, Mitarbeiter, Führungskräfte, Betriebsrat/Personalrat."}],"props":[{"name":"alt-identifier","value":"491ec81c-443b-4792-83f3-c9f4363c64ce"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv","name":"sec_level","value":"normal-SdT"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv","name":"effort_level","value":"0"}],"title":"Analyse der internen interessierten Parteien"}]},{"id":"GC.4","props":[{"name":"label","value":"4"},{"name":"alt-identifier","value":"68277eed-f2a3-413f-97c8-383561be418e"}],"title":"Festlegung des Geltungsbereichs","controls":[{"id":"GC.4.1","class":"BSI-Methodik-Grundschutz-plus-plus","links":[{"rel":"required","href":"#GC.3.2"},{"rel":"required","href":"#GC.3.1"},{"rel":"required","href":"#GC.2.2"},{"rel":"required","href":"#GC.2.1"}],"parts":[{"id":"GC.4.1_stm","name":"statement","props":[{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv","name":"result","value":"den nachvollziehbar abgegrenzten Geltungsbereich"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv","name":"result_specification","value":"nach Freigabe der Institutionsleitung"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv","name":"action_word","value":"festlegen"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv","name":"modal_verb","value":"MUSS"}],"prose":"Governance und Compliance MUSS den nachvollziehbar abgegrenzten Geltungsbereich nach Freigabe der Institutionsleitung festlegen."},{"id":"GC.4.1_gdn","name":"guidance","prose":"Definieren und dokumentieren Sie den Geltungsbereich Ihres ISMS. Dieser legt den formalen und organisatorischen Umfang (Scope) fest, in dem das ISMS angewendet wird. Legen Sie fest, welche Institutionsbereiche, Geschäftsprozesse und Tätigkeiten formell zum Geltungsbereich gehören und grenzen Sie infrastrukturell ab, welche Standorte und Systeme  innerhalb des Geltungsbereichs liegen; welche externen Partner oder Dienstleister in das ISMS einzubeziehen sind und welche Bereiche bewusst nicht Bestandteil des Geltungsbereichs sind."}],"props":[{"name":"alt-identifier","value":"ebff4c7b-77b1-4d08-bc57-37d3ca16242c"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv","name":"sec_level","value":"normal-SdT"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv","name":"effort_level","value":"0"}],"title":"Festlegung des Geltungsbereichs"}]},{"id":"GC.5","props":[{"name":"label","value":"5"},{"name":"alt-identifier","value":"74e1ef8c-6faf-4741-8731-2cf7785dedbf"}],"title":"Prozess der Informationssicherheitseinstufung","controls":[{"id":"GC.5.1","class":"BSI-Methodik-Grundschutz-plus-plus","parts":[{"id":"GC.5.1_stm","name":"statement","props":[{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv","name":"result","value":"ein Verfahren für die Festlegung von Geschäftsprozessen und die Einstufung des Schutzbedarfs"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv","name":"result_specification","value":"dieser Geschäftsprozesse und den hierbei verarbeiteten Informationen"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv","name":"action_word","value":"verankern"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv","name":"modal_verb","value":"MUSS"}],"prose":"Governance und Compliance MUSS ein Verfahren für die Festlegung von Geschäftsprozessen und die Einstufung des Schutzbedarfs dieser Geschäftsprozesse und den hierbei verarbeiteten Informationen verankern."},{"id":"GC.5.1_gdn","name":"guidance","prose":"Die Informationssicherheitseinstufung dient der systematischen Identifikation des Schutzbedarfs von  Geschäftsprozessen und verarbeiteten Informationen. Hierbei wird zwischen dem Schutzbedarf  „normal“ und „hoch“ unterschieden. Der prozessorientierte Ansatz stellt die Verbindung zwischen  Geschäftsprozessen und Informationen in den Vordergrund."}],"props":[{"name":"alt-identifier","value":"bdbc4d9b-c0d7-4f5a-8e07-ba12b4049625"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv","name":"sec_level","value":"normal-SdT"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv","name":"effort_level","value":"0"}],"title":"Vorgehen bei der Infomationssicherheitseinstufung","controls":[{"id":"GC.5.1.1","class":"BSI-Methodik-Grundschutz-plus-plus","links":[{"rel":"related","href":"#GC.4.1"}],"parts":[{"id":"GC.5.1.1_stm","name":"statement","props":[{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv","name":"documentation","value":"Geschäftsprozesse"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv","name":"result","value":"die Geschäftsprozesse"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv","name":"result_specification","value":"die für den Geltungsbereich relevant sind"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv","name":"action_word","value":"festlegen"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv","name":"modal_verb","value":"MUSS"}],"prose":"Governance und Compliance MUSS die Geschäftsprozesse die für den Geltungsbereich relevant sind festlegen."},{"id":"GC.5.1.1_gdn","name":"guidance","prose":"Hierbei kann oft auf bestehende Prozesslandkarten und Managementsysteme zurückgegriffen werden. Besteht noch keine Prozessübersicht in der Institution, so können die technischen und organisatorischen Praktiken als  Ausgangsvorschlag für relevante Hilfsprozesse herangezogen werden (siehe Prozessschritt 2 - Anforderungsanalyse)"}],"props":[{"name":"alt-identifier","value":"b75cea5b-dc1e-4b96-b34a-5053242dabc1"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv","name":"sec_level","value":"normal-SdT"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv","name":"effort_level","value":"0"}],"title":"Festlegung der Geschäftsprozesse"},{"id":"GC.5.1.2","class":"BSI-Methodik-Grundschutz-plus-plus","links":[{"rel":"required","href":"#GC.5.1.1"}],"parts":[{"id":"GC.5.1.2_stm","name":"statement","props":[{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv","name":"documentation","value":"Schutzbedarfsfeststellung"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv","name":"result","value":"eine Einstufung des Schutzbedarfs der relevanten Geschäftsprozesse und Informationsarten"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv","name":"result_specification","value":"unter Berücksichtigung der Geschäftsziele und in Absprache mit der Institutionsleitung"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv","name":"action_word","value":"festlegen"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv","name":"modal_verb","value":"MUSS"}],"prose":"Governance und Compliance MUSS eine Einstufung des Schutzbedarfs der relevanten Geschäftsprozesse und Informationsarten unter Berücksichtigung der Geschäftsziele und in Absprache mit der Institutionsleitung festlegen."},{"id":"GC.5.1.2_gdn","name":"guidance","prose":"Das Ergebnis der  Schutzbedarfsfeststellung ist eine Übersicht des Schutzbedarfs der zu verarbeitenden Informationen,  sowie der Relevanz der Geschäftsprozesse. Die Einstufung erfolgt dabei in den Stufen „normal“ oder „hoch“. Die Einstufung richtet sich nach der Bedeutung des Geschäftsprozess für die Geschäftsziele oder den gesetzlichen Auftrag der Institution. Priorität für die weitere Abarbeitung hat zunächst der wichtigste Geschäftsprozess, d.h. derjenige Geschäftsprozess, dessen Informationsschutz für den Fortbestand der Institution von essentieller Bedeutung ist. Die Entscheidung darüber, welcher Geschäftsprozess am wichtigsten ist, obliegt der Institutionsleitung. Droht bei einer Verletzung der Vertraulichkeit, Integrität oder Verfügbarkeit von Informationen in diesem Geschäftsprozess ein existenzbedrohender finanzieller oder existenzbedrohender Reputationsschaden, so ist der Schutzbedarf des Prozesses als hoch einzustufen. Das gleiche gilt, wenn innerhalb eines Geschäftsprozesses Informationen verarbeitet werden, die als besonders vertraulich eingestuft werden."}],"props":[{"name":"alt-identifier","value":"7a951196-bf44-463f-91b6-8cf140c97e4c"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv","name":"sec_level","value":"normal-SdT"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv","name":"effort_level","value":"0"}],"title":"Festlegung des Schutzbedarfs"},{"id":"GC.5.1.3","class":"BSI-Methodik-Grundschutz-plus-plus","links":[{"rel":"required","href":"#GC.5.1.2"}],"parts":[{"id":"GC.5.1.3_stm","name":"statement","props":[{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv","name":"documentation","value":"Risikobewertung"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv","name":"result","value":"eine dedizierte Risikobetrachtung von Geschäftsprozessen oder Informationsarten mit hohem Schutzbedarf"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv","name":"action_word","value":"ausführen"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv","name":"modal_verb","value":"MUSS"}],"prose":"Governance und Compliance MUSS eine dedizierte Risikobetrachtung von Geschäftsprozessen oder Informationsarten mit hohem Schutzbedarf ausführen."},{"id":"GC.5.1.3_gdn","name":"guidance","prose":"In einem separaten Dokument zur Risikobetrachtung werden verbindliche Vorgaben an die Risikomethodik vorgeschrieben."}],"props":[{"name":"alt-identifier","value":"c86010f0-6e07-429a-a203-529ebdc6c99a"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv","name":"sec_level","value":"normal-SdT"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv","name":"effort_level","value":"0"}],"title":"Geschäftsprozesse mit hohem Schutzbedarf"}]}]},{"id":"GC.6","props":[{"name":"label","value":"6"},{"name":"alt-identifier","value":"330c95ba-022d-4de5-91f6-58557e18a660"}],"title":"Entwicklung einer Sicherheitsleitlinie","controls":[{"id":"GC.6.1","class":"BSI-Methodik-Grundschutz-plus-plus","parts":[{"id":"GC.6.1_stm","name":"statement","props":[{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv","name":"documentation","value":"Informationssicherheitsstrategie"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv","name":"result","value":"konkrete und messbare Ziele für die Informationssicherheit"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv","name":"result_specification","value":"auf Basis der identifizierten Rahmenbedingungen"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv","name":"action_word","value":"festlegen"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv","name":"modal_verb","value":"MUSS"}],"prose":"Governance und Compliance MUSS konkrete und messbare Ziele für die Informationssicherheit auf Basis der identifizierten Rahmenbedingungen festlegen."},{"id":"GC.6.1_gdn","name":"guidance","prose":"Die Ziele sollten Bezug zu den Geschäftszielen der Institution aufweisen und müssen messbar und konkret sein, z. B.: 98% der aktiven Endgeräte im Netzwerk der Institution verfügen über eine aktuelle Antivirensoftware, deren Signaturdatenbank nicht älter als 24 Stunden ist. Die Ziele sollten die Anforderungen der interessierten Parteien sowie den Kontext berücksichtigen."}],"props":[{"name":"alt-identifier","value":"551fec73-dce4-4f34-b41d-555142b09cf7"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv","name":"sec_level","value":"normal-SdT"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv","name":"effort_level","value":"0"}],"title":"Festlegung von Zielen für die Informationssicherheit","controls":[{"id":"GC.6.1.1","class":"BSI-Methodik-Grundschutz-plus-plus","links":[{"rel":"required","href":"#GC.6.1"}],"parts":[{"id":"GC.6.1.1_stm","name":"statement","props":[{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv","name":"documentation","value":"Informationssicherheitsstrategie"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv","name":"result","value":"eine grundlegende Strategie zur Erreichung der Ziele für die Informationssicherheit"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv","name":"result_specification","value":"gemeinsam mit der Institutionsleitung"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv","name":"action_word","value":"festlegen"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv","name":"modal_verb","value":"SOLLTE"}],"prose":"Governance und Compliance SOLLTE eine grundlegende Strategie zur Erreichung der Ziele für die Informationssicherheit gemeinsam mit der Institutionsleitung festlegen."},{"id":"GC.6.1.1_gdn","name":"guidance","prose":"Die Sicherheitsstrategie legt fest, wie die Organisation die Ziele erreichen möchte und fokussiert inbesondere den übergeordneten Ansatz und die Prinzipien."}],"props":[{"name":"alt-identifier","value":"a13fb400-1756-4708-b212-502d284c4308"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv","name":"sec_level","value":"normal-SdT"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv","name":"effort_level","value":"3"}],"title":"Festlegung einer Sicherheitsstrategie"},{"id":"GC.6.1.2","class":"BSI-Methodik-Grundschutz-plus-plus","parts":[{"id":"GC.6.1.2_stm","name":"statement","props":[{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv","name":"documentation","value":"Leitungsentscheidung"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv","name":"result","value":"die Verpflichtung der Institutionsleitung"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv","name":"result_specification","value":"formal"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv","name":"action_word","value":"zuweisen"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv","name":"modal_verb","value":"MUSS"}],"prose":"Governance und Compliance MUSS die Verpflichtung der Institutionsleitung formal zuweisen."},{"id":"GC.6.1.2_gdn","name":"guidance","prose":"Die Verpflichtung der Institutionsleitung beinhaltet die Übernahme der Gesamtverantwortung, die Bestätigung und Überwachung der Informationssicherheitsziele bezüglich der Organisationsziele und die Förderung des ISMS. Die Förderung des ISMS erfolgt durch Beteiligung (z. B. Führungsentscheidungen), Bestätigung der Informationssicherheitsorganisation, Unterstützung der Integration des ISMS, Bereitstellung von Ressourcen (z. B. finanzielle, personelle, technische, infrastrukturelle) und die Unterstützung der kontinuierlichen Verbesserung."}],"props":[{"name":"alt-identifier","value":"8b3ae6fa-4bd0-4d81-babe-7792c63b9989"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv","name":"sec_level","value":"normal-SdT"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv","name":"effort_level","value":"0"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv","name":"tags","value":"Führungsverantwortung"}],"title":"Verpflichtung der Institutionsleitung"},{"id":"GC.6.1.3","class":"BSI-Methodik-Grundschutz-plus-plus","parts":[{"id":"GC.6.1.3_stm","name":"statement","props":[{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv","name":"documentation","value":"Informationssicherheitsleitlinie"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv","name":"result","value":"eine für die Institution passende Sicherheitsleitlinie"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv","name":"action_word","value":"festlegen"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv","name":"modal_verb","value":"MUSS"}],"prose":"Governance und Compliance MUSS eine für die Institution passende Sicherheitsleitlinie festlegen."},{"id":"GC.6.1.3_gdn","name":"guidance","prose":"Die Sicherheitsleitlinie ist ein zentrales Dokument, welches an alle Mitarbeitenden kommuniziert werden muss. Sie dient als Orientierung für alle sicherheitsrelevanten Entscheidungen und Aktivitäten und fördern ein gemeinsames Verständnis der Bedeutung und Ausrichtung der Informationssicherheit. Die Leitlinie für Informationssicherheit enthält insbesondere die Gesamtverantwortung und Verpflichtung der Institutionsleitung, Informationssicherheitsziele, eine Informationssicherheitsstrategie, die Benennung der Rollen und Zuständigkeiten sowie die Verpflichtung zur kontinuierlichen Verbesserung."}],"props":[{"name":"alt-identifier","value":"af7b68e3-ac36-4876-a1ea-80d38407f1c1"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv","name":"sec_level","value":"normal-SdT"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv","name":"effort_level","value":"0"}],"title":"Erstellung einer Sicherheitsleitlinie"},{"id":"GC.6.1.4","class":"BSI-Methodik-Grundschutz-plus-plus","links":[{"rel":"required","href":"#GC.6.1.3"}],"parts":[{"id":"GC.6.1.4_stm","name":"statement","props":[{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv","name":"documentation","value":"Informationssicherheitsleitlinie"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv","name":"result","value":"die festgelegte Sicherheitsleitlinie"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv","name":"result_specification","value":"durch die Institutionsleitung"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv","name":"action_word","value":"autorisieren"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv","name":"modal_verb","value":"MUSS"}],"prose":"Governance und Compliance MUSS die festgelegte Sicherheitsleitlinie durch die Institutionsleitung autorisieren."}],"props":[{"name":"alt-identifier","value":"230dbdf5-8328-4629-8734-1b2f4288d5eb"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv","name":"sec_level","value":"normal-SdT"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv","name":"effort_level","value":"0"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv","name":"tags","value":"Führungsverantwortung"}],"title":"Freigabe der Sicherheitsleitlinie"}]}]},{"id":"GC.7","props":[{"name":"label","value":"7"},{"name":"alt-identifier","value":"2889d7fd-4859-4352-9037-3d6a9ace7aa4"}],"title":"Implementierung des Compliance-Managements","controls":[{"id":"GC.7.1","class":"BSI-Methodik-Grundschutz-plus-plus","links":[{"rel":"related","href":"#PERF.2.1"}],"parts":[{"id":"GC.7.1_stm","name":"statement","props":[{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv","name":"documentation","value":"Compliance-Verpflichtungen"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv","name":"result","value":"ein Verfahren zur Sammlung, Integration und Priorisierung aller für das Informationssicherheitsmanagement relevanten Rahmenbedingungen"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv","name":"action_word","value":"verankern"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv","name":"modal_verb","value":"MUSS"}],"prose":"Governance und Compliance MUSS ein Verfahren zur Sammlung, Integration und Priorisierung aller für das Informationssicherheitsmanagement relevanten Rahmenbedingungen verankern."},{"id":"GC.7.1_gdn","name":"guidance","prose":"Das Compliance Management stellt sicher, dass alle gesetzlichen, regulatorischen und vertraglichen Verpflichtungen im Bereich der Informationssicherheit eingehalten werden. Identifizieren, überwachen und bewerten Sie Verpflichtungen, um rechtliche Konsequenzen, finanzielle Verluste oder Reputationsschäden zu vermeiden. Aufgrund der hohen Komplexität des modernen Rechts ist für die Rechtspflege eine eigene Rechtsabteilung oder die Beauftragung von Mitgliedern der rechtsberatenden Berufe zweckmäßig. Die bei der Festlegung des Verfahrens im Einzelnen zu berücksichtigenden Inhalte ergeben sich aus den Anforderungen dieser Praktik."}],"props":[{"name":"alt-identifier","value":"de07bcb3-2a0b-44d4-bd3f-eca08ce44992"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv","name":"sec_level","value":"normal-SdT"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv","name":"effort_level","value":"0"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv","name":"tags","value":"Compliance Management"}],"title":"Verfahren und Regelungen","controls":[{"id":"GC.7.1.1","class":"BSI-Methodik-Grundschutz-plus-plus","parts":[{"id":"GC.7.1.1_stm","name":"statement","props":[{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv","name":"documentation","value":"Compliance-Verpflichtungen"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv","name":"result","value":"die Analyse der gesetzlichen Verpflichtungen, welche die Verarbeitung von Informationen durch die Institution betreffen,"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv","name":"action_word","value":"ausführen"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv","name":"modal_verb","value":"SOLLTE"}],"prose":"Governance und Compliance SOLLTE die Analyse der gesetzlichen Verpflichtungen, welche die Verarbeitung von Informationen durch die Institution betreffen, ausführen."},{"id":"GC.7.1.1_gdn","name":"guidance","prose":"Gesetzliche Verpflichtungen, welche die Verarbeitung von Informationen durch die Institution betreffen, sind dokumentiert. Gesetzliche Verpflichtungen meint alle Pflichten, die sich unmittelbar aus dem Recht ergeben, inklusive des Verfassungsrechts, Europarechts und Verordnungen. Relevante gesetzliche Verpflichtungen können sich je nach Institution z. B. aus Grundrechten, Cyber Resilience Act, Data Act, Data Markets Act, NIS, DSGVO, BDSG, TKG, TDDDG oder GeschGehG ergeben. Beachten Sie dabei auch Verpflichtungen, die sich mittelbar auswirken wie die Arbeitsstättenverordnung oder allgemeine Regelungen zur Fürsorgepflicht."}],"props":[{"name":"alt-identifier","value":"02747a0f-cd38-4815-9eec-351ae89dbdfe"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv","name":"sec_level","value":"normal-SdT"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv","name":"effort_level","value":"3"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv","name":"tags","value":"Compliance Management, Inventories"}],"title":"Gesetzliche Verpflichtungen"},{"id":"GC.7.1.2","class":"BSI-Methodik-Grundschutz-plus-plus","parts":[{"id":"GC.7.1.2_stm","name":"statement","props":[{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv","name":"documentation","value":"Compliance-Verpflichtungen"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv","name":"result","value":"für die Einhaltung gesetzlicher Verpflichtungen in der Informationsverarbeitung zuständige Stellen in der Institution"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv","name":"action_word","value":"anhören"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv","name":"modal_verb","value":"SOLLTE"}],"prose":"Governance und Compliance SOLLTE für die Einhaltung gesetzlicher Verpflichtungen in der Informationsverarbeitung zuständige Stellen in der Institution anhören."},{"id":"GC.7.1.2_gdn","name":"guidance","prose":"Für die Einhaltung gesetzlicher Verpflichtungen in der Informationsverarbeitung zuständige Stellen in der Institution wurden bei der Dokumentation der Compliance-Verpflichtungen angehört. Hierunter können z. B. Rechtsabteilung, Datenschutzbeauftragte, Brandschutzbeauftragte oder Fachverantwortliche bei branchenspezifischen Vorschriften fallen."}],"props":[{"name":"alt-identifier","value":"3d677306-5748-405a-b5f3-cdc2939e7d14"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv","name":"sec_level","value":"normal-SdT"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv","name":"effort_level","value":"3"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv","name":"tags","value":"Compliance Management"}],"title":"Anhörung zuständiger Stellen"},{"id":"GC.7.1.3","class":"BSI-Methodik-Grundschutz-plus-plus","parts":[{"id":"GC.7.1.3_stm","name":"statement","props":[{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv","name":"documentation","value":"Compliance-Verpflichtungen"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv","name":"result","value":"die Zusammenstellung vertraglicher Verpflichtungen, welche die Verarbeitung von Informationen durch die Institution betreffen,"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv","name":"action_word","value":"dokumentieren"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv","name":"modal_verb","value":"SOLLTE"}],"prose":"Governance und Compliance SOLLTE die Zusammenstellung vertraglicher Verpflichtungen, welche die Verarbeitung von Informationen durch die Institution betreffen, dokumentieren."},{"id":"GC.7.1.3_gdn","name":"guidance","prose":"Vertragliche Verpflichtungen, welche die Verarbeitung von Informationen durch die Institution betreffen, sind dokumentiert. Vertragliche Verpflichtungen meint alle Pflichten, die sich aus rechtlich bindenden Vereinbarungen ergeben, unabhängig davon, ob diese als Vertrag bezeichnet werden oder nicht."}],"props":[{"name":"alt-identifier","value":"fc2115c2-43fe-4b22-88c5-b28784174936"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv","name":"sec_level","value":"normal-SdT"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv","name":"effort_level","value":"3"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv","name":"tags","value":"Compliance Management"}],"title":"Vertragliche Verpflichtungen"},{"id":"GC.7.1.4","class":"BSI-Methodik-Grundschutz-plus-plus","parts":[{"id":"GC.7.1.4_stm","name":"statement","props":[{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv","name":"documentation","value":"Arbeitsanweisung"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv","name":"result","value":"Verfahren zur Prävention gegen Verstöße"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv","name":"action_word","value":"verankern"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv","name":"modal_verb","value":"SOLLTE"}],"prose":"Governance und Compliance SOLLTE Verfahren zur Prävention gegen Verstöße verankern."},{"id":"GC.7.1.4_gdn","name":"guidance","prose":"Verfahren können z. B. zielgruppengerechte Schulungen der für die Umsetzung und Einhaltung zuständigen Personen, die Berücksichtigung der Compliance-Verpflichtungen bei Freigabe- und Testprozessen sowie die Förderung einer konstruktiven Fehlerkultur sein."}],"props":[{"name":"alt-identifier","value":"6874056a-4f01-497d-8ef4-0411a55671e7"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv","name":"sec_level","value":"normal-SdT"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv","name":"effort_level","value":"3"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv","name":"tags","value":"Compliance Management"}],"title":"Prävention von Verstößen"}]}]},{"id":"GC.8","props":[{"name":"label","value":"8"},{"name":"alt-identifier","value":"c04122d4-3c02-4c27-bd26-e63f0534d0bd"}],"title":"Sicherheitsorganisation und Rollen","controls":[{"id":"GC.8.1","class":"BSI-Methodik-Grundschutz-plus-plus","links":[{"rel":"related","href":"#GC.6.1.2"}],"parts":[{"id":"GC.8.1_stm","name":"statement","props":[{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv","name":"result","value":"ein Verfahren zur kontinuierlichen, wirtschaftlichen Planung von Ressourcen für das ISMS"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv","name":"action_word","value":"verankern"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv","name":"modal_verb","value":"MUSS"}],"prose":"Governance und Compliance MUSS ein Verfahren zur kontinuierlichen, wirtschaftlichen Planung von Ressourcen für das ISMS verankern."},{"id":"GC.8.1_gdn","name":"guidance","prose":"Die Ressourcenplanung berücksichtigt die personellen, finanziellen und materiellen bzw. technischen Ressourcen."}],"props":[{"name":"alt-identifier","value":"4378f5ac-3387-408e-974a-b04e5079c372"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv","name":"sec_level","value":"normal-SdT"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv","name":"effort_level","value":"0"}],"title":"Verfahren zur Ressourcenplanung","controls":[{"id":"GC.8.1.1","class":"BSI-Methodik-Grundschutz-plus-plus","parts":[{"id":"GC.8.1.1_stm","name":"statement","props":[{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv","name":"documentation","value":"Tätigkeits- & Rollenbeschreibung"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv","name":"result","value":"die Rollen und Zuständigkeiten im Rahmen des ISMS"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv","name":"result_specification","value":"inklusive ihrer Kompetenzen bzw. Befugnisse"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv","name":"action_word","value":"zuweisen"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv","name":"modal_verb","value":"MUSS"}],"prose":"Governance und Compliance MUSS die Rollen und Zuständigkeiten im Rahmen des ISMS inklusive ihrer Kompetenzen bzw. Befugnisse zuweisen."},{"id":"GC.8.1.1_gdn","name":"guidance","prose":"Im Rahmen des ISMS sind die Rollen hinsichtlich der Aufgaben, der dafür notwendigen Qualifikation und der notwendigen Befugnisse festgelegt. Eine zentrale Rolle wäre beispielsweise der \"Informationssicherheitsbeauftragte\" (ISB)."}],"props":[{"name":"alt-identifier","value":"5cc59bb1-af0d-457f-a548-03373447fec7"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv","name":"sec_level","value":"normal-SdT"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv","name":"effort_level","value":"0"}],"title":"Festlegung von Rollen und Zuständigkeiten","controls":[{"id":"GC.8.1.1.1","class":"BSI-Methodik-Grundschutz-plus-plus","parts":[{"id":"GC.8.1.1.1_stm","name":"statement","props":[{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv","name":"documentation","value":"Sicherheitsorganisation"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv","name":"result","value":"die Rolle des Informationssicherheitsbeauftragten {{einer unabhängigen Person}}"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv","name":"result_specification","value":", welche unmittelbar der Institutionsleitung unterstellt ist,"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv","name":"action_word","value":"zuweisen"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv","name":"modal_verb","value":"MUSS"}],"prose":"Governance und Compliance MUSS die Rolle des Informationssicherheitsbeauftragten {{ insert: param, gc.8.1.1.1-prm1 }} , welche unmittelbar der Institutionsleitung unterstellt ist, zuweisen."},{"id":"GC.8.1.1.1_gdn","name":"guidance","prose":"Informationssicherheit liegt in der Verantwortung der Institutionsleitung. Die operative Aufgabe „Informationssicherheit“ wird an einen Informationssicherheitsbeauftragten (ISB) delegiert, der diese Aufgabe innerhalb der Institution koordiniert und vorantreibt. Daher ist diese Rolle in jeder Institution (unabhängig von Art und Größe) zu besetzen. Je nach Art und Ausrichtung der Institution wird der ISB anders genannt. Häufige Titel sind neben dem Informationssicherheitsbeauftragten, Chief Information Security Officer (CISO) oder Informationssicherheitsmanager (ISM).  Die Hauptaufgabe des ISB besteht darin, die Institutionsleitung bei deren Aufgabenwahrnehmung bezüglich der Informationssicherheit zu beraten und diese bei der Umsetzung zu unterstützen. Zu den ISB-Aufgaben gehört es u.a., den Sicherheitsprozess operativ zu steuern und zu koordinieren, die Institutionsleitung bei der Erstellung der Sicherheitsleitlinie zu unterstützen, die Erstellung des Sicherheitskonzepts und zugehöriger Teilkonzepte und Richtlinien zu koordinieren, den Umsetzungsplan für Sicherheitsmaßnahmen anzufertigen, sowie ihre Umsetzung zu initiieren und zu überprüfen, der Institutionsleitung und anderen Sicherheitsverantwortlichen über den Status der Informationssicherheit zu berichten, sicherheitsrelevante Projekte zu koordinieren, sicherheitsrelevante Vorfälle zu untersuchen, sowie Sensibilisierungen und Schulungen zur Informationssicherheit zu initiieren und zu koordinieren."}],"props":[{"name":"alt-identifier","value":"96ebe8f3-2419-45d0-b981-dc973d21c17c"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv","name":"sec_level","value":"normal-SdT"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv","name":"effort_level","value":"0"}],"title":"Informationssicherheitsbeauftragter","params":[{"id":"gc.8.1.1.1-prm1","label":"einer unabhängigen Person","props":[{"name":"alt-identifier","value":"96ebe8f3-2419-45d0-b981-dc973d21c17c"}]}],"controls":[{"id":"GC.8.1.1.1.1","class":"BSI-Methodik-Grundschutz-plus-plus","parts":[{"id":"GC.8.1.1.1.1_stm","name":"statement","props":[{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv","name":"documentation","value":"Tätigkeits- & Rollenbeschreibung"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv","name":"result","value":"das direkte Vorspracherecht des ISB bei der Institutionsleitung"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv","name":"action_word","value":"verankern"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv","name":"modal_verb","value":"MUSS"}],"prose":"Governance und Compliance MUSS das direkte Vorspracherecht des ISB bei der Institutionsleitung verankern."},{"id":"GC.8.1.1.1.1_gdn","name":"guidance","prose":"Das Vorspracherecht trägt dazu bei, dass die Institutionsleitung ein vollständiges und unverfälschtes Bild über den Stand der Informationssicherheit erhält. Ohne dieses direkte Vorsprachrecht kann es passieren, dass andere Organisationseinheiten sicherheitsrelevante Informationen in der Weitergabe beeinflussen."}],"props":[{"name":"alt-identifier","value":"2daf1f95-862a-4b5e-9d63-90723384a0df"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv","name":"sec_level","value":"normal-SdT"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv","name":"effort_level","value":"0"}],"title":"Vorspracherecht des Informationssicherheitsbeauftragten"}]}]},{"id":"GC.8.1.2","class":"BSI-Methodik-Grundschutz-plus-plus","parts":[{"id":"GC.8.1.2_stm","name":"statement","props":[{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv","name":"documentation","value":"Geschäftsverteilungsplan"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv","name":"result","value":"Stellvertreterregelungen für alle relevanten Rollen und Zuständigkeiten im ISMS"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv","name":"action_word","value":"zuweisen"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv","name":"modal_verb","value":"MUSS"}],"prose":"Governance und Compliance MUSS Stellvertreterregelungen für alle relevanten Rollen und Zuständigkeiten im ISMS zuweisen."},{"id":"GC.8.1.2_gdn","name":"guidance","prose":"Eine kontinuierliche Handlungsunfähigkeit der  Sicherheitsorganisation kann nur mit Stellvertreterregelungen für alle relevanten Rollen gewährleistet werden."}],"props":[{"name":"alt-identifier","value":"0d09d72c-92af-4749-9ce1-a523f0546e46"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv","name":"sec_level","value":"normal-SdT"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv","name":"effort_level","value":"0"}],"title":"Stellvertreterregelungen"},{"id":"GC.8.1.3","class":"BSI-Methodik-Grundschutz-plus-plus","links":[{"rel":"required","href":"#GC.8.1.1"}],"parts":[{"id":"GC.8.1.3_stm","name":"statement","props":[{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv","name":"result","value":"Maßnahmen zur Vermeidung von Interessenkonflikten bei der Festlegung von Rollen und Zuständigkeiten des ISMS"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv","name":"action_word","value":"festlegen"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv","name":"modal_verb","value":"MUSS"}],"prose":"Governance und Compliance MUSS Maßnahmen zur Vermeidung von Interessenkonflikten bei der Festlegung von Rollen und Zuständigkeiten des ISMS festlegen."},{"id":"GC.8.1.3_gdn","name":"guidance","prose":"Für die Vermeidung von Interessenkonflikten wird insbesondere die Zuordnung konkurrierender Rollen (bspw. ausführender und prüfender oder freigebender Rollen) vermieden. Dies erfolgt beispielsweise durch eine entsprechende Etablierung von Rollen in der Aufbauorganisation (z. B. Informationssicherheitsbeauftragter als Stabtelle). Es können aber auch weitere Maßnahmen (z. B. Vier-Augen-Prinzip) genutzt werden."}],"props":[{"name":"alt-identifier","value":"e57f0e21-92f1-4ddb-8248-e74613905d7d"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv","name":"sec_level","value":"normal-SdT"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv","name":"effort_level","value":"0"}],"title":"Vermeidung von Interessenkonflikten"},{"id":"GC.8.1.4","class":"BSI-Methodik-Grundschutz-plus-plus","links":[{"rel":"required","href":"#GC.8.1.1"},{"rel":"required","href":"#GC.8.1.5"}],"parts":[{"id":"GC.8.1.4_stm","name":"statement","props":[{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv","name":"documentation","value":"Sicherheitsorganisation"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv","name":"result","value":"die Sicherheitsorganisation für das ISMS"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv","name":"result_specification","value":"mit den festgelegten Rollen, Zuständigkeiten sowie Gremien"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv","name":"action_word","value":"festlegen"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv","name":"modal_verb","value":"MUSS"}],"prose":"Governance und Compliance MUSS die Sicherheitsorganisation für das ISMS mit den festgelegten Rollen, Zuständigkeiten sowie Gremien festlegen."},{"id":"GC.8.1.4_gdn","name":"guidance","prose":"Ziel der Sicherheitsorganisation ist es, die relevanten Bereiche eines ISMS sowie die relevanten Schnittstellen zu anderen Bereichen (z. B. Datenschutz, physische Sicherheit, Geheimschutz oder Arbeitsschutz) vollständig und wirksam in der Institution zu verankern. Die Sicherheitsorganisation sollte in einem Organigramm oder einer ähnlichen Darstellung zu dokumentiert und abgebildet werden."}],"props":[{"name":"alt-identifier","value":"56907e29-773a-4339-8166-785b68f9c065"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv","name":"sec_level","value":"normal-SdT"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv","name":"effort_level","value":"0"}],"title":"Festlegung einer Sicherheitsorganisation"},{"id":"GC.8.1.5","class":"BSI-Methodik-Grundschutz-plus-plus","parts":[{"id":"GC.8.1.5_stm","name":"statement","props":[{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv","name":"documentation","value":"Tätigkeits- & Rollenbeschreibung"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv","name":"result","value":"für jeden Rollen- und Verantwortungsträger die erforderlichen Anforderungen und Fähigkeiten"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv","name":"action_word","value":"festlegen"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv","name":"modal_verb","value":"MUSS"}],"prose":"Governance und Compliance MUSS für jeden Rollen- und Verantwortungsträger die erforderlichen Anforderungen und Fähigkeiten festlegen."},{"id":"GC.8.1.5_gdn","name":"guidance","prose":"Für jeden Rollen- und Verantwortungsträger sind die Anforderungen und Fähigkeiten festgelegt."}],"props":[{"name":"alt-identifier","value":"09da6b52-1efc-4c44-98b3-4d9b094fd107"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv","name":"sec_level","value":"normal-SdT"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv","name":"effort_level","value":"0"}],"title":"Sicherstellung der Qualifikation"},{"id":"GC.8.1.6","class":"BSI-Methodik-Grundschutz-plus-plus","parts":[{"id":"GC.8.1.6_stm","name":"statement","props":[{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv","name":"result","value":"dem Informationssicherheitsbeauftragten {{hinreichende}} Ressourcen"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv","name":"action_word","value":"zuweisen"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv","name":"modal_verb","value":"MUSS"}],"prose":"Governance und Compliance MUSS dem Informationssicherheitsbeauftragten {{ insert: param, gc.8.1.6-prm1 }} Ressourcen zuweisen."},{"id":"GC.8.1.6_gdn","name":"guidance","prose":"Zu den Aufgaben des ISB gehören beispielsweise die Beratung der Institutionsleitung zur Informationssicherheit, die Koordinierung der Erstellung von Richtlinien und Sicherheitskonzepten und die Untersuchung von Sicherheitsvorfällen. Ohne ausreichende Ressourcen, können diese Aufgaben nicht wirksam und nachhaltig wahrgenommen werden, was zu Sicherheitsrisiken führen kann. In kleinen Institutionen kann die Funktion des ISB auch von einem qualifizierten Mitarbeiter neben anderen Aufgaben wahrgenommen werden. Maßgeblich ist, dass dem ISB ausreichend Zeit für seine Aufgaben zugebilligt wird und er in keinem Interessenskonflikt mit anderen Aufgaben steht."}],"props":[{"name":"alt-identifier","value":"b04f2734-0b3f-400f-92cb-08a49fb2960f"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv","name":"sec_level","value":"normal-SdT"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv","name":"effort_level","value":"0"}],"title":"Ressourcen für den Informationssicherheitsbeauftragten","params":[{"id":"gc.8.1.6-prm1","label":"hinreichende","props":[{"name":"alt-identifier","value":"b04f2734-0b3f-400f-92cb-08a49fb2960f"}]}]}]}]},{"id":"GC.9","props":[{"name":"label","value":"9"},{"name":"alt-identifier","value":"4958c54f-47a9-4f53-808d-77aca3ca70ef"}],"title":"Dokumentation und Kommunikation","controls":[{"id":"GC.9.1","class":"BSI-Methodik-Grundschutz-plus-plus","parts":[{"id":"GC.9.1_stm","name":"statement","props":[{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv","name":"documentation","value":"Übersicht der Kommunikationspartner"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv","name":"result","value":"ein Verfahren zum Kommunikationsmanagement"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv","name":"result_specification","value":"hinsichtlich der internen und externen Kommunikation"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv","name":"action_word","value":"verankern"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv","name":"modal_verb","value":"MUSS"}],"prose":"Governance und Compliance MUSS ein Verfahren zum Kommunikationsmanagement hinsichtlich der internen und externen Kommunikation verankern."},{"id":"GC.9.1_gdn","name":"guidance","prose":"Für die relevante Kommunikation im Rahmen eines ISMS sind die Eckpunkte (wer, wann, mit wem, wie) festgelegt. Dies beinhaltet ebenfalls die Identifikation der relevanten Behörden und der relevanten Kontakte sowie die Festlegung von Zuständigkeiten für die Kommunikation."}],"props":[{"name":"alt-identifier","value":"b7947004-8b4e-4b64-b73f-df1e790bed19"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv","name":"sec_level","value":"normal-SdT"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv","name":"effort_level","value":"0"}],"title":"Festlegung eines Verfahrens zum Kommunikationsmanagement","controls":[{"id":"GC.9.1.1","class":"BSI-Methodik-Grundschutz-plus-plus","parts":[{"id":"GC.9.1.1_stm","name":"statement","props":[{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv","name":"result","value":"einen externen Austausch zur Informationssicherheit"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv","name":"action_word","value":"ausführen"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv","name":"modal_verb","value":"SOLLTE"}],"prose":"Governance und Compliance SOLLTE einen externen Austausch zur Informationssicherheit ausführen."},{"id":"GC.9.1.1_gdn","name":"guidance","prose":"Um auch andere Perspektiven wahrzunehmen und Eindrücke zu erhalten, findet ein externer Austausch statt. Hierzu können beispielsweise Branchenverbände, Fachforen oder andere Einrichtungen genutzt werden."}],"props":[{"name":"alt-identifier","value":"4fb02efc-1b80-497d-af10-77433319be96"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv","name":"sec_level","value":"normal-SdT"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv","name":"effort_level","value":"4"}],"title":"Externer Austausch zur Informationssicherheit"},{"id":"GC.9.1.2","class":"BSI-Methodik-Grundschutz-plus-plus","parts":[{"id":"GC.9.1.2_stm","name":"statement","props":[{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv","name":"result","value":"bei sicherheitsrelevanten Projekten die Beteiligung {{der relevanten Sicherheitsorgane}}"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv","name":"result_specification","value":"zu festgelegten Zeitpunkten im Projektverlauf"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv","name":"action_word","value":"verankern"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv","name":"modal_verb","value":"MUSS"}],"prose":"Governance und Compliance MUSS bei sicherheitsrelevanten Projekten die Beteiligung {{ insert: param, gc.9.1.2-prm1 }} zu festgelegten Zeitpunkten im Projektverlauf verankern."},{"id":"GC.9.1.2_gdn","name":"guidance","prose":"Bei allen Projekten, die Auswirkungen auf die Informationsverarbeitung haben, ist eine frühzeitige Beteiligung des ISB (und ggfs. weiterer sicherheitsrelevanter Organe) von wesentlicher Bedeutung. Beispiele für sicherheitsrelevante Projekte sind die Einführung eines neuen IT-Systems oder einer neuen Software. Beispiele für geeignete Zeitpunkte der Beteiligung sind etwa während der Beschaffung oder vor der Produktivsetzung."}],"props":[{"name":"alt-identifier","value":"6ccbc3f1-0984-4b12-86f2-708d40e9b635"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv","name":"sec_level","value":"normal-SdT"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv","name":"effort_level","value":"0"}],"title":"Kommunikation im Projektmanagement","params":[{"id":"gc.9.1.2-prm1","label":"der relevanten Sicherheitsorgane","props":[{"name":"alt-identifier","value":"6ccbc3f1-0984-4b12-86f2-708d40e9b635"}]}]},{"id":"GC.9.1.3","class":"BSI-Methodik-Grundschutz-plus-plus","parts":[{"id":"GC.9.1.3_stm","name":"statement","props":[{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv","name":"documentation","value":"Richtlinie zur Lenkung von Dokumenten und Aufzeichnungen"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv","name":"result","value":"ein Verfahren zur Lenkung der Dokumente im Rahmen des ISMS"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv","name":"result_specification","value":"über den kompletten Lebenszyklus von Dokumenten"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv","name":"action_word","value":"verankern"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv","name":"modal_verb","value":"MUSS"}],"prose":"Governance und Compliance MUSS ein Verfahren zur Lenkung der Dokumente im Rahmen des ISMS über den kompletten Lebenszyklus von Dokumenten verankern."},{"id":"GC.9.1.3_gdn","name":"guidance","prose":"Ziel eines Verfahrens zur Dokumentenlenkung ist die Sicherstellung der Nachvollziehbarkeit von Dokumenten. Das Verfahren stellt hierbei die Nachvollziehbarkeit über den gesamten Lebenszyklus des Dokuments sicher. Dies beinhaltet die Erstellung bzw. Übernahme (z. B. aus \"Alt-Dokumenten\" oder externen Dokumenten) der Dokumente mit Titel, Autor, Dokumenteneigentümer, Sicherheitsklassifikation, Erstelldatum sowie einheitlicher Formate. Des Weiteren beinhaltet dies die Steuerung mit einem Änderungsmanagement (Versionierung), einer einheitlichen Veröffentlichung, einer angemessen geschützten Ablage und ggf. auch Archivierung sowie einer Rücknahme."}],"props":[{"name":"alt-identifier","value":"9cc14941-253d-4bfa-89f6-8902370cc509"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv","name":"sec_level","value":"normal-SdT"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv","name":"effort_level","value":"0"}],"title":"Dokumentenlenkung"}]}]},{"id":"GC.10","props":[{"name":"label","value":"10"},{"name":"alt-identifier","value":"1059d695-552e-49f9-ac41-2f2b3e40e3d4"}],"title":"Festlegung und Freigabe der Vorgehensweise","controls":[{"id":"GC.10.1","class":"BSI-Methodik-Grundschutz-plus-plus","links":[{"rel":"related","href":"#GC.11.1"}],"parts":[{"id":"GC.10.1_stm","name":"statement","props":[{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv","name":"documentation","value":"ISMS-Regelwerk"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv","name":"result","value":"die Verfahren des ISMS sowie die Zuständigkeiten"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv","name":"action_word","value":"festlegen"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv","name":"modal_verb","value":"MUSS"}],"prose":"Governance und Compliance MUSS die Verfahren des ISMS sowie die Zuständigkeiten festlegen."},{"id":"GC.10.1_gdn","name":"guidance","prose":"Der Umfang der Dokumentation der Verfahren ist der Größe und Komplexität der Institution angemessen. Die Verfahren beinhalten insbesondere die Risikobetrachtung, die Etablierung von Änderungen im ISMS, die Dokumentenlenkung, die Leistungsbewertung und Auditierung, kontinuierliche Verbesserung sowie reaktive Verfahren (Sicherheitsvorfallbehandlung, Notfallmanagement).  In kleineren Institutionen kann dies beispielsweise in einem Dokument erfolgen. In größeren Institutionen kann die Etablierung von Prozessen hierfür erforderlich sein."}],"props":[{"name":"alt-identifier","value":"4b2b03f6-103d-4435-9edc-27cd961e2361"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv","name":"sec_level","value":"normal-SdT"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv","name":"effort_level","value":"0"}],"title":"Festlegung von Vorgehensweisen"},{"id":"GC.10.2","class":"BSI-Methodik-Grundschutz-plus-plus","links":[{"rel":"required","href":"#GC.10.1"}],"parts":[{"id":"GC.10.2_stm","name":"statement","props":[{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv","name":"documentation","value":"Managementbericht"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv","name":"result","value":"die Verfahren für das ISMS"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv","name":"result_specification","value":"durch die Institutionsleitung"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv","name":"action_word","value":"autorisieren"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv","name":"modal_verb","value":"MUSS"}],"prose":"Governance und Compliance MUSS die Verfahren für das ISMS durch die Institutionsleitung autorisieren."},{"id":"GC.10.2_gdn","name":"guidance","prose":"Die Freigabe des Prozesses der ISMS-Verfahren erfolgt durch die Institutionsleitung. Diese Freigabe sollte dokumentiert werden, um Verbindlichkeit und Nachvollziehbarkeit sicherzustellen. Beispielsweise kann diese Freigabe durch die Vorlage eines Managementberichts eingeholt werden"}],"props":[{"name":"alt-identifier","value":"d6d44aa6-9010-40f0-9c3b-cc568b951410"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv","name":"sec_level","value":"normal-SdT"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv","name":"effort_level","value":"0"}],"title":"Freigabe von Vorgehensweisen"}]},{"id":"GC.11","props":[{"name":"label","value":"11"},{"name":"alt-identifier","value":"94bc3dbf-4a44-43a4-8710-3ad958f4d109"}],"title":"Initiierung des Risikomanagements","controls":[{"id":"GC.11.1","class":"BSI-Methodik-Grundschutz-plus-plus","links":[{"rel":"related","href":"#GC.10.1"}],"parts":[{"id":"GC.11.1_stm","name":"statement","props":[{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv","name":"documentation","value":"Risikobewertung"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv","name":"result","value":"eine einheitliche Methodik für das Informationssicherheitsrisikomanagement"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv","name":"result_specification","value":"auf Basis des Kontextes der Institution und der Anforderungen interessierter Parteien sowie der daraus hergeleiteten Risikoziele"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv","name":"action_word","value":"verankern"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv","name":"modal_verb","value":"MUSS"}],"prose":"Governance und Compliance MUSS eine einheitliche Methodik für das Informationssicherheitsrisikomanagement auf Basis des Kontextes der Institution und der Anforderungen interessierter Parteien sowie der daraus hergeleiteten Risikoziele verankern."},{"id":"GC.11.1_gdn","name":"guidance","prose":"Das Risikomanagement stellt sicher, dass Risiken systematisch identifiziert, eingeschätzt, bewertet und behandelt werden. Die Festlegung einheitlicher Kriterien für, Risikoeinschätzung, Risikobewertung und Risikobehandlung, sowie die Rolle des Risikoeigentümers sorgen für Transparenz und Verbindlichkeit.  Die Risikomanagementmethodik kann frei gewählt werden.  In einem separaten Dokument zur Risikobetrachtung werden verbindliche Vorgaben an die Risikomethodik vorgeschrieben. Die Vorgaben sind entsprechend gängiger Risikomanagement-Prozesse strukturiert."}],"props":[{"name":"alt-identifier","value":"0567f921-f474-4060-9a64-11e5148ebe09"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv","name":"sec_level","value":"normal-SdT"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv","name":"effort_level","value":"0"}],"title":"Methodik für das Risikomanagement"}]}]},{"id":"STM","props":[{"name":"label","value":"STM","remarks":"Die Praktik Strukturmodellierung bildet die Grundlage für eine systematische Analyse der Informationssicherheit einer Institution.   Ziel der Strukturmodellierung ist aus dem Stand-der-Technik-Kompendium ein individuelles Anforderungspaket für die Institution zu generieren. Auf Basis der Geschäftsprozesse und Informationen wird der individuelle Schutzbedarf festgelegt. Mit der Zuordnung einzelner Praktiken und Zielobjekte erfolgen eine Auswahl von Anforderungen auf der Grundlage des vorgegebenen Schutzniveaus. Blaupausen unterstützen die Filterung der Anforderungen. Eine Klassifizierung des Schutzbedarfs der Zielobjekte erfolgt auf Anforderungsebene. Die individuelle Anpassung der Anforderungen durch Auswahlmöglichkeiten erleichtern eine Skalierung. Eine Erweiterung des Anforderungspakets durch spezifische Anforderungen erhöht die Flexibilität. Für diese Anforderungen ist eine Risikobetrachtung erforderlich. Die Strukturmodellierung liefert essentielle Eingangsdaten für die nachgelagerten Praktiken wie Umsetzung und Monitoring-Evaluation und ermöglicht eine zielgerichtete und risikoorientierte Planung von Anforderungen und Sicherheitsmaßnahmen."},{"name":"alt-identifier","value":"deba3c17-15a1-450e-84a9-129ac73b0b84"}],"title":"Strukturmodellierung","groups":[{"id":"STM.1","props":[{"name":"label","value":"1"},{"name":"alt-identifier","value":"ecd8ab64-23ff-45b1-bbad-b00c4fe7237a"}],"title":"Definition und Abgrenzung des Informationsverbunds","controls":[{"id":"STM.1.1","class":"BSI-Methodik-Grundschutz-plus-plus","links":[{"rel":"required","href":"#GC.4.1"}],"parts":[{"id":"STM.1.1_stm","name":"statement","props":[{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv","name":"documentation","value":"Informationsverbund"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv","name":"result","value":"den nachvollziehbar abgegrenzten Informationsverbund"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv","name":"result_specification","value":"auf Basis des Geltungsbereichs"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv","name":"action_word","value":"festlegen"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv","name":"modal_verb","value":"MUSS"}],"prose":"Strukturmodellierung MUSS den nachvollziehbar abgegrenzten Informationsverbund auf Basis des Geltungsbereichs festlegen."},{"id":"STM.1.1_gdn","name":"guidance","prose":"Definieren und dokumentieren Sie den Informationsverbund. Dieser bildet den Geltungsbereich inhaltlich-technisch ab und umfasst die informationsverarbeitenden Systeme, Prozesse und Komponenten, die innerhalb des festgelegten Geltungsbereichs betrachtet werden. Dokumentieren Sie, welche Institutionsbereiche, Rollen und Personen zum Informationsverbund gehören für die organisatorische Abgrenzung. Grenzen Sie zusätzlich aus technischer Perspektive ab, welche Anwendungen, Systeme und Netze Bestandteil Ihres Informationsverbundes sind. Dokumentieren Sie weiterhin, welche Betriebsanteile an externe Parteien outgessourced - bsw. welche Cloud-Dienste genutzt - werden.  In der Praxis kann es in einem Geltungsbereich auch mehrere Informationsverbünde geben."}],"props":[{"name":"alt-identifier","value":"cba2f75c-95f5-4398-9a8b-7773bdcd1c7d"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv","name":"sec_level","value":"normal-SdT"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv","name":"effort_level","value":"0"}],"title":"Definition und Abgrenzung des Informationsverbunds"},{"id":"STM.1.2","class":"BSI-Methodik-Grundschutz-plus-plus","links":[{"rel":"required","href":"#STM.1.1"}],"parts":[{"id":"STM.1.2_stm","name":"statement","props":[{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv","name":"documentation","value":"Informationsverbund"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv","name":"result","value":"Schnittstellen des Informationsverbunds"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv","name":"result_specification","value":"zu externen Prozessen"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv","name":"action_word","value":"festlegen"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv","name":"modal_verb","value":"MUSS"}],"prose":"Strukturmodellierung MUSS Schnittstellen des Informationsverbunds zu externen Prozessen festlegen."},{"id":"STM.1.2_gdn","name":"guidance","prose":"Im Informationsverbund sind die organisatorischen, technischen und infrastrukturellen Schnittstellen dargestellt. Für eine eindeutige Abgrenzung sind im Informationsverbund die Schnittstellen definiert. Wie bei der Beschreibung des Informationsverbunds selbst, sind auch hier organisatorische, technische sowie infrastrukturelle Schnittstellen berücksichtigt."}],"props":[{"name":"alt-identifier","value":"c30d414e-65e5-460e-8239-892f9a196a1f"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv","name":"sec_level","value":"normal-SdT"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv","name":"effort_level","value":"0"}],"title":"Dokumentation der externen Schnittstellen"}]},{"id":"STM.2","props":[{"name":"label","value":"2"},{"name":"alt-identifier","value":"296d10e0-e54b-4c31-aadf-1307d5d9d3ba"}],"title":"Erstellung eines Anforderungspakets","controls":[{"id":"STM.2.1","class":"BSI-Methodik-Grundschutz-plus-plus","parts":[{"id":"STM.2.1_stm","name":"statement","props":[{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv","name":"result","value":"in ein zu erstellendes Anforderungspaket alle Anforderungen"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv","name":"result_specification","value":"die für den berachteten Informationsverbund relevant sind"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv","name":"action_word","value":"platzieren"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv","name":"modal_verb","value":"MUSS"}],"prose":"Strukturmodellierung MUSS in ein zu erstellendes Anforderungspaket alle Anforderungen die für den berachteten Informationsverbund relevant sind platzieren."},{"id":"STM.2.1_gdn","name":"guidance","prose":"Das Anforderungspaket enthält alle Anforderungen, die für den betrachteten Informationsverbund und den priorisierten Geschäftsprozesse relevant sind sowie wenn erforderlich zusätzlichen Anforderungen. Diese Anforderung dient der grundsätzlichen Vorgabe ein Anforderungspaket zu erstellen. Weitere Details sind den folgenden Anforderungen dieser Praktik zu entnehmen."}],"props":[{"name":"alt-identifier","value":"c6fb5790-0490-48b6-b409-286915a08353"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv","name":"sec_level","value":"normal-SdT"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv","name":"effort_level","value":"0"}],"title":"Erstellung eines Anforderungspakets"}]},{"id":"STM.3","props":[{"name":"label","value":"3"},{"name":"alt-identifier","value":"4b1393ff-95df-4296-8420-c3555becc9ed"}],"title":"ISMS-Anforderungen des Informationsverbundes","controls":[{"id":"STM.3.1","class":"BSI-Methodik-Grundschutz-plus-plus","parts":[{"id":"STM.3.1_stm","name":"statement","props":[{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv","name":"result","value":"alle Anforderungen der ISMS-Praktiken"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv","name":"result_specification","value":"modelliert auf den vorliegenden Informationsverbund"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv","name":"action_word","value":"platzieren"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv","name":"modal_verb","value":"MUSS"}],"prose":"Strukturmodellierung MUSS alle Anforderungen der ISMS-Praktiken modelliert auf den vorliegenden Informationsverbund platzieren."},{"id":"STM.3.1_gdn","name":"guidance","prose":"Neben den zielobjektgebundenen Anforderungen enthält das Kompendium-GS++ auch Anforderungen ohne explizite Zielobjektzuordnung. Diese werden im Anforderungspaket ergänzend berücksichtigt. Für die Anforderungen der ISMS-Praktiken (GC, STM, PERF, VRB, UMS) gilt dabei Folgendes: Die Anforderungen der ISMS-Praktiken sind übergreifend und keinem einzelnen Zielobjekt zugewiesen. Sie bauen den PDCA-Zyklus des Managementsystems auf und gelten deshalb einmalig für den gesamten Informationsverbund. Alle Anforderungen der ISMS-Praktiken werden ohne weitere Selektion auf den Informationsverbund modelliert. Sie werden als „verbundweite Anforderungen“ im Anforderungspaket geführt, da sie Governance-, Steuerungs-, Kontroll- und Verbesserungsprozesse definieren."}],"props":[{"name":"alt-identifier","value":"92bc2497-1440-4718-b35b-9648b3efc4fd"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv","name":"sec_level","value":"normal-SdT"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv","name":"effort_level","value":"0"}],"title":"ISMS-Anforderungen des Informationsverbundes"}]},{"id":"STM.4","props":[{"name":"label","value":"4"},{"name":"alt-identifier","value":"6cdaddf7-6c9c-4335-b69f-5a973cfddf5f"}],"title":"Asset-Modellierung","controls":[{"id":"STM.4.1","class":"BSI-Methodik-Grundschutz-plus-plus","parts":[{"id":"STM.4.1_stm","name":"statement","props":[{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv","name":"result","value":"alle relevanten Assets für die betrachteten Geschäftsprozesse"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv","name":"result_specification","value":"modelliert auf den vorliegenden Informationsverbund"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv","name":"action_word","value":"festlegen"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv","name":"modal_verb","value":"MUSS"}],"prose":"Strukturmodellierung MUSS alle relevanten Assets für die betrachteten Geschäftsprozesse modelliert auf den vorliegenden Informationsverbund festlegen."},{"id":"STM.4.1_gdn","name":"guidance","prose":"Die Asset-Modellierung ist der zentrale Schritt, um den zuvor festgelegten Informationsverbund strukturiert und nachvollziehbar in sicherheitsrelevante Bestandteile zu zerlegen. Ziel ist es, die für den betrachteten Geschäftsprozess relevanten Assets zu identifizieren, zu dokumentieren und so zu modellieren, dass daraus automatisiert oder manuell passende Anforderungen abgeleitet werden können. Assets sind dabei alle materiellen oder immateriellen Werte, die zur Aufgabenerfüllung und zur Erreichung der Geschäftsziele benötigt werden. Die Asset-Modellierung fokussiert auf jene Assets, die im Rahmen der priorisierten Geschäftsprozesse Informationen verarbeiten, speichern, übertragen oder deren Schutz unterstützen. Relevante Assets können insbesondere Informationswerte, Systeme und Anwendungen (System Assets), Netz- und Kommunikationskomponenten,\tinfrastrukturelle und physische Assets sowie personelle und organisatorische Assets sein"}],"props":[{"name":"alt-identifier","value":"10e75c93-320b-4d4d-baaa-ed7392b274cf"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv","name":"sec_level","value":"normal-SdT"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv","name":"effort_level","value":"0"}],"title":"Erfassung relevanter Assets"},{"id":"STM.4.2","class":"BSI-Methodik-Grundschutz-plus-plus","links":[{"rel":"required","href":"#STM.4.1"}],"parts":[{"id":"STM.4.2_stm","name":"statement","props":[{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv","name":"result","value":"alle Assets mit Relevanz für die betrachteten Geschäftsprozesse"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv","name":"action_word","value":"dokumentieren"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv","name":"modal_verb","value":"MUSS"}],"prose":"Strukturmodellierung MUSS alle Assets mit Relevanz für die betrachteten Geschäftsprozesse dokumentieren."},{"id":"STM.4.2_gdn","name":"guidance","prose":"Für die Dokumentation kann auf vorhandene Assetdaten/-register und digitale erfasste Systemdaten zurückgegriffen werden.  Für jedes Asset sollten  die eindeutige Bezeichnung/ID, eiine kurze Beschreibung des Assets und seines Zwecks, die Zuordnung zu Geschäftsprozessen, der/ die verantwortliche Rolle bzw. Asset-Owner und letztlich ggf. der Standort bzw. logische Einordnung (Netz, Anwendungskontext etc.) sowie vorhandene Abhängigkeiten zu anderen Assets dokumentiert werden."}],"props":[{"name":"alt-identifier","value":"9a63c78e-a5bb-4d89-a02f-0cf7abdaba40"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv","name":"sec_level","value":"normal-SdT"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv","name":"effort_level","value":"0"}],"title":"Dokumentation relevanter Assets"},{"id":"STM.4.3","class":"BSI-Methodik-Grundschutz-plus-plus","parts":[{"id":"STM.4.3_stm","name":"statement","props":[{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv","name":"result","value":"allen relevanten Assets passende Zielobjektkategorien"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv","name":"action_word","value":"zuweisen"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv","name":"modal_verb","value":"MUSS"}],"prose":"Strukturmodellierung MUSS allen relevanten Assets passende Zielobjektkategorien zuweisen."},{"id":"STM.4.3_gdn","name":"guidance","prose":"Zielobjektkategorien sind Teile des Informationsverbunds, denen im Rahmen der Modellierung Anforderungen zugeordnet werden können. Zielobjekt können dabei physische und logische Objekte sein. Durch das Mapping werden Assets damit in die Systematik des GS++ überführt. Die Zuordnung erfolgt anhand der Definitionen der Zielobjektkategorien. Für jedes Asset ist zu prüfen, welche Kategorie(n) seine Funktion und seinen Einsatz im Geschäftsprozess am besten abbilden. Ergebnis dieses Schritts ist eine Zielobjekt-Liste je Asset, welche die Grundlage für die spätere Ableitung der Anforderungen bildet."}],"props":[{"name":"alt-identifier","value":"1bd2c7b2-badf-4705-9731-aa8888531708"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv","name":"sec_level","value":"normal-SdT"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv","name":"effort_level","value":"0"}],"title":"Mapping des Assets auf die Zielobjektkategorien"}]},{"id":"STM.5","props":[{"name":"label","value":"5"},{"name":"alt-identifier","value":"415ca274-2700-4b93-91f2-c66b67421da8"}],"title":"Anforderungsmodellierung auf die Assets","controls":[{"id":"STM.5.1","class":"BSI-Methodik-Grundschutz-plus-plus","links":[{"rel":"required","href":"#STM.4.3"},{"rel":"related","href":"#STM.5.2"},{"rel":"related","href":"#STM.5.3"},{"rel":"related","href":"#STM.5.4"}],"parts":[{"id":"STM.5.1_stm","name":"statement","props":[{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv","name":"result","value":"die Modellierung der Anforderung aus den Zielobjektkategorien auf die zugeordeten Assets"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv","name":"action_word","value":"ausführen"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv","name":"modal_verb","value":"MUSS"}],"prose":"Strukturmodellierung MUSS die Modellierung der Anforderung aus den Zielobjektkategorien auf die zugeordeten Assets ausführen."},{"id":"STM.5.1_gdn","name":"guidance","prose":"Nun werden die Anforderungen aus dem GS++ auf die identifizierten Zielobjekte modelliert. Gemäß dem Schutzbedarf der Institution für den Geschäftsprozess, werden die Anforderungen für eine entsprechendes Sicherheitsniveau gewählt. Die modellierten Anforderungen bilden das individuelle Anforderungspaket des festgelegten Informationsverbund in Bezug auf den ausgewählten Geschäftsprozess."}],"props":[{"name":"alt-identifier","value":"11fe535b-f1f3-49d2-ab01-65fc651281b5"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv","name":"sec_level","value":"normal-SdT"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv","name":"effort_level","value":"0"}],"title":"Modellierung der Anforderungen mit Zielobjekt"},{"id":"STM.5.2","class":"BSI-Methodik-Grundschutz-plus-plus","links":[{"rel":"related","href":"#STM.5.1"},{"rel":"related","href":"#STM.5.3"},{"rel":"related","href":"#STM.5.4"}],"parts":[{"id":"STM.5.2_stm","name":"statement","props":[{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv","name":"result","value":"die Ergänzung der zuvor zugeordneten Zielobjektkategorien um diejenigen Kategorien"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv","name":"result_specification","value":"die in der Zielobjekthierarchie übergeordnet sind"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv","name":"action_word","value":"ausführen"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv","name":"modal_verb","value":"MUSS"}],"prose":"Strukturmodellierung MUSS die Ergänzung der zuvor zugeordneten Zielobjektkategorien um diejenigen Kategorien die in der Zielobjekthierarchie übergeordnet sind ausführen."},{"id":"STM.5.2_gdn","name":"guidance","prose":"Anforderungen werden einmalig für die passende Zielobjektkategorie definiert und dann auf alle nachgeordneten Kategorien vererbt. Durch die Vererbung wird es einfacher, den Umsetzungsstand und das Sicherheitsniveau über verschiedene Systeme und Anwendungen hinweg zu erfassen und zu vergleichen. Eine automatisierte Verarbeitung der Vererbungshierarchie kann auch der Umsetzungsaufwand in vielen Fällen erheblich reduzieren, ohne dass Themen außen vor bleiben. Die Vererbung erfolgt entlang der Zielobjekthierarchie: Für jedes zugeordnete Zielobjekt werden alle Elternknoten bis zur Wurzel einbezogen. Die Vererbung ist deterministisch, da die Zielobjekthierarchie fest definiert ist. Eine Automatisierung der Vererbung ist möglich und empfohlen, wenn die Hierarchie maschinenlesbar vorliegt. Beachten Sie, dass die Vererbung dazu führen kann, dass sich Zielobjektkategorien mehrfach ergeben; diese sind konsolidiert zu betrachten, um redundante Anforderungen zu vermeiden. Ergebnis dieses Schritts ist eine vollständige Liste der Zielobjektkategorie je Asset, bestehend aus direkt zugeordneten Zielobjektkategorien und vererbten übergeordneten Zielobjektkategorien. Dieses Set bildet die Grundlage für die Anforderungskonsolidierung und -ergänzung um die Anforderungen ohne Zielobjektkategorie."}],"props":[{"name":"alt-identifier","value":"3e96574e-7742-42c4-8ccb-4578bcc2f7b0"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv","name":"sec_level","value":"normal-SdT"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv","name":"effort_level","value":"0"}],"title":"Vererbung von Zielobjektkategorien"},{"id":"STM.5.3","class":"BSI-Methodik-Grundschutz-plus-plus","links":[{"rel":"related","href":"#STM.5.1"},{"rel":"related","href":"#STM.5.2"},{"rel":"related","href":"#STM.5.4"}],"parts":[{"id":"STM.5.3_stm","name":"statement","props":[{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv","name":"result","value":"eine Konsolidierung und Redundanzprüfung des Anforderungspakets"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv","name":"action_word","value":"ausführen"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv","name":"modal_verb","value":"MUSS"}],"prose":"Strukturmodellierung MUSS eine Konsolidierung und Redundanzprüfung des Anforderungspakets ausführen."},{"id":"STM.5.3_gdn","name":"guidance","prose":"Wenn Anforderungen durch mehrere vererbte Zielobjekte identisch auf ein Asset wirken, werden sie nur einmal geführt. So bleibt das Anforderungspaket schlank und umsetzbar. Ergebnis ist pro Asset ein vollständiger Satz an Anforderungen, der alle organisatorischen, technischen, personellen und infrastrukturellen Vorgaben enthält, die zur Erreichung des Sicherheitsniveaus erforderlich sind. Diese Anforderungen ergänzen das Anforderungspaket."}],"props":[{"name":"alt-identifier","value":"2bb937c6-f260-4742-a0d3-0fbc87dc37f0"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv","name":"sec_level","value":"normal-SdT"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv","name":"effort_level","value":"0"}],"title":"Konsolidierung und Redundanzprüfung"},{"id":"STM.5.4","class":"BSI-Methodik-Grundschutz-plus-plus","links":[{"rel":"related","href":"#STM.5.1"},{"rel":"related","href":"#STM.5.2"},{"rel":"related","href":"#STM.5.3"}],"parts":[{"id":"STM.5.4_stm","name":"statement","props":[{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv","name":"result","value":"die Modellierung aller weiteren Anforderungen"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv","name":"result_specification","value":"denen kein Zielobjektkategorie zugeordnet ist"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv","name":"action_word","value":"ausführen"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv","name":"modal_verb","value":"MUSS"}],"prose":"Strukturmodellierung MUSS die Modellierung aller weiteren Anforderungen denen kein Zielobjektkategorie zugeordnet ist ausführen."},{"id":"STM.5.4_gdn","name":"guidance","prose":"Für jede zielobjektlose Anforderung in den vorliegenden Geschäftsprozessen ist eine Relevanzentscheidung vorzunehmen. Für jede Anforderung ohne Zielobjekt wird entschieden, ob sie für den Geschäftsprozess bzw. die zugehörigen Assets erforderlich ist. Maßstab ist hier wiederum das Sicherheitsniveau sowie die konkrete Nutzung für den Geschäftsprozess. Daraufhin erfolgt eine Zuordnung auf die betroffenenen Geschäftsprozesse: Hierbei werden diese Anforderungen auch federführend zuständigen Personen oder Rollen (sog. Prozess-Owner) zugewiesen.  Für die vorliegenden Geschäftsprozesse nicht relevante Anforderungen werden aus dem Anforderungspaket gestrichen, was mit einer Begründung, zu dokumentieren ist, um Nachvollziehbarkeit bei einem späteren Audit bzw. Zertifizierung zu sichern."}],"props":[{"name":"alt-identifier","value":"6fa942b2-8081-4a68-8b37-60ae5e4dc081"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv","name":"sec_level","value":"normal-SdT"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv","name":"effort_level","value":"0"}],"title":"Modellierung der Anforderungen ohne Zielobjektkategorie"}]},{"id":"STM.6","props":[{"name":"label","value":"6"},{"name":"alt-identifier","value":"a93701b3-22d3-44c5-8a06-02b957e7f066"}],"title":"Anforderungsergänzung","controls":[{"id":"STM.6.1","class":"BSI-Methodik-Grundschutz-plus-plus","links":[{"rel":"related","href":"#STM.6.2"}],"parts":[{"id":"STM.6.1_stm","name":"statement","props":[{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv","name":"result","value":"die Ergänzung des Anforderungspakets um Anforderungen"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv","name":"result_specification","value":"für die es keine passenden Anforderungen gibt"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv","name":"action_word","value":"ausführen"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv","name":"modal_verb","value":"MUSS"}],"prose":"Strukturmodellierung MUSS die Ergänzung des Anforderungspakets um Anforderungen für die es keine passenden Anforderungen gibt ausführen."},{"id":"STM.6.1_gdn","name":"guidance","prose":"Falls es für Assets oder Themen im GS++ derzeit noch keine Anforderungen gibt, können diese von der Institution erstellt werden. Die Anforderungsmodellierung für Assets ohne Anforderungen umfasst folgende Schritte:  Zuerst erfolgt die Identifikation und Dokumentation von Assets, für die es keine Anforderungen im Anforderungskatalog-GS++ gibt. Daraufhin ist nachvollziehbar zu begründen, warum die Anforderungen aus dem Anforderungskatalog-GS++ nicht ausreichen. Dann erfolgt die Erstellung von neuen Anforderungen in Bezug auf die Schutzziele (Vertraulichkeit, Integrität und Verfügbarkeit), für diese Assets. Zuletzt wird das Anforderungspaket um die neuen Anforderungen erweitert. Die Ergebnisse dieser Anforderungsmodellierung sind individuelle und bedarfsgerechte Anforderungen für Assets, für die der Grundschutz++ keine Anforderungen enthält. Diese werden als fester Bestandteil in das Anforderungspaket integriert. Es muss eine Risikobetrachtung in Bezug auf diese neuen Anforderungen durchgeführt werden."}],"props":[{"name":"alt-identifier","value":"2806a793-8638-4b0b-9247-22252cae48f6"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv","name":"sec_level","value":"normal-SdT"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv","name":"effort_level","value":"0"}],"title":"Auf Grund anforderungsloser Assets"},{"id":"STM.6.2","class":"BSI-Methodik-Grundschutz-plus-plus","links":[{"rel":"related","href":"#STM.6.1"}],"parts":[{"id":"STM.6.2_stm","name":"statement","props":[{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv","name":"result","value":"die Ergänzung des Anforderungspakets um Anforderungen für Assets"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv","name":"result_specification","value":"die sich aus dem individuellen Compliance-Umfeld der Institution ergeben"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv","name":"action_word","value":"ausführen"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv","name":"modal_verb","value":"MUSS"}],"prose":"Strukturmodellierung MUSS die Ergänzung des Anforderungspakets um Anforderungen für Assets die sich aus dem individuellen Compliance-Umfeld der Institution ergeben ausführen."},{"id":"STM.6.2_gdn","name":"guidance","prose":"Dieser Schritt ergänzt das Anforderungspaket, um Anforderungen, die sich aus dem individuellen Compliance-Umfeld der Institution ergeben. Die Integration von externen Compliance-Verpflichtungen stellt sicher, dass alle relevanten gesetzlichen und vertraglichen Pflichten berücksichtigt werden, die erfasst wurden. Hier zu zählen z.B. gesetzliche Verpflichtungen, welche die Verarbeitung von Informationen durch die Institution betreffen oder auch vertragliche Verpflichtungen mit Relevanz für die Informationsverarbeitung."}],"props":[{"name":"alt-identifier","value":"b620ab56-c91f-47bc-a8fa-a7a594b7d14b"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv","name":"sec_level","value":"normal-SdT"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv","name":"effort_level","value":"0"}],"title":"Auf Grund externer Verpflichtungen"}]},{"id":"STM.7","props":[{"name":"label","value":"7"},{"name":"alt-identifier","value":"d41b337c-f304-454e-b032-d4efd12f7161"}],"title":"Überprüfung des gesetzten Sicherheitsniveaus","controls":[{"id":"STM.7.1","class":"BSI-Methodik-Grundschutz-plus-plus","links":[{"rel":"related","href":"#GC.5.1"}],"parts":[{"id":"STM.7.1_stm","name":"statement","props":[{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv","name":"result","value":"die initiale Einstufung der Sicherheitsniveaus"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv","name":"result_specification","value":"der Anforderungen im Anforderungspaket"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv","name":"action_word","value":"überprüfen"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv","name":"modal_verb","value":"MUSS"}],"prose":"Strukturmodellierung MUSS die initiale Einstufung der Sicherheitsniveaus der Anforderungen im Anforderungspaket überprüfen."},{"id":"STM.7.1_gdn","name":"guidance","prose":"Durch die Durchführung dieses Prozessschrittes der Anforderungsanalyse für alle Geschäftsprozesse mit normalem Schutzbedarf und somit ohne zusätzlich Risikobetrachtung, erfolgt eine Modellierung der Anforderungen mit einem initialen Sicherheitsniveaus. In diesem Teilschritt der Anforderungsanalyse ist es möglich die initiale Einstellung des Sicherheitsniveaus zu überprüfen und bei Bedarf, auch bei einzelnen Assets, zu ändern. Sollte eine Erhöhung des Sicherheitsniveaus (von ‚normal (SdT)‘ auf ‚erhöht‘) erfolgen so hat dies lediglich Auswirkungen auf die Reihenfolge bei der Umsetzung der Anforderungen. Sollte hingegen eine Verringerung des initialen Sicherheitsniveaus (von ‚erhöht‘ aus ‚normal (SdT)‘) erfolgen, so ist dies mit einer Risikobetrachtung, wie im folgenden Kapitel beschrieben, zu begründen."}],"props":[{"name":"alt-identifier","value":"ba3059a8-7745-451a-9601-f4c19c2b4b87"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv","name":"sec_level","value":"normal-SdT"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv","name":"effort_level","value":"0"}],"title":"Überprüfung des gesetzten Sicherheitsniveaus"}]},{"id":"STM.8","props":[{"name":"label","value":"8"},{"name":"alt-identifier","value":"5ec41880-f68f-4d47-978f-fba700783fe1"}],"title":"Durchführung der Risikobetrachtung","controls":[{"id":"STM.8.1","class":"BSI-Methodik-Grundschutz-plus-plus","parts":[{"id":"STM.8.1_stm","name":"statement","props":[{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv","name":"result","value":"eine Risikobetrachtung  für die Assets, für die keine einschlägigen Anforderungen identifiziert werden konnten,"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv","name":"result_specification","value":"oder die einen hohen Schutzbedarf haben"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv","name":"action_word","value":"ausführen"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv","name":"modal_verb","value":"MUSS"}],"prose":"Strukturmodellierung MUSS eine Risikobetrachtung  für die Assets, für die keine einschlägigen Anforderungen identifiziert werden konnten, oder die einen hohen Schutzbedarf haben ausführen."},{"id":"STM.8.1_gdn","name":"guidance","prose":"Es kann Assets geben, die durch die Anforderungen nicht oder nicht vollständig abgebildet bzw. abgesichert werden. Diese sind zu dokumentieren, da für diese eine Risikobetrachtung durchzuführen ist. Im Rahmen dieser Risikobetrachtung werden dann eigene Anforderungen bzw. Maßnahmen identifiziert."}],"props":[{"name":"alt-identifier","value":"42cc5d6f-e4f8-4247-a8fa-f90988af02cb"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv","name":"sec_level","value":"normal-SdT"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv","name":"effort_level","value":"0"}],"title":"Risikobetrachtung bei fehlenden Anforderungen"}]},{"id":"STM.9","props":[{"name":"label","value":"9"},{"name":"alt-identifier","value":"dd48b96e-3f92-40fe-b776-39e97d17bb23"}],"title":"Gestaltungsentscheidungen","controls":[{"id":"STM.9.1","class":"BSI-Methodik-Grundschutz-plus-plus","links":[{"rel":"related","href":"#GC.8.1"}],"parts":[{"id":"STM.9.1_stm","name":"statement","props":[{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv","name":"result","value":"jeder Anforderung eine zuständige Person oder Rolle"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv","name":"result_specification","value":"für den zugeordneten Prozess"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv","name":"action_word","value":"zuweisen"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv","name":"modal_verb","value":"MUSS"}],"prose":"Strukturmodellierung MUSS jeder Anforderung eine zuständige Person oder Rolle für den zugeordneten Prozess zuweisen."},{"id":"STM.9.1_gdn","name":"guidance","prose":"Jede Praktik enthält im Abschnitt „Grundlagen“ eine Anforderung zur Zuweisung einer Zuständigkeit zu bestimmten Personen oder Rollen. Durch das Setzen dieser Parameter wird festgelegt, welche Personen oder Rollen die führende Zuständigkeit für den zugeordneten Prozess erhalten.  Dies wirkt sich auch auf das Anforderungspaket für Zielobjekte aus: Hier ist die Zuständigkeit für jede Anforderung anhand ihrer Praktik erkennbar."}],"props":[{"name":"alt-identifier","value":"613c7ac9-0c3d-4a27-8265-2071aede58c4"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv","name":"sec_level","value":"normal-SdT"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv","name":"effort_level","value":"0"}],"title":"Verteilung der führenden Zuständigkeiten"},{"id":"STM.9.2","class":"BSI-Methodik-Grundschutz-plus-plus","parts":[{"id":"STM.9.2_stm","name":"statement","props":[{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv","name":"result","value":"Parameter innerhalb einer Anforderung"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv","name":"result_specification","value":"zur automatisierten Prüfung"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv","name":"action_word","value":"zuweisen"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv","name":"modal_verb","value":"MUSS"}],"prose":"Strukturmodellierung MUSS Parameter innerhalb einer Anforderung zur automatisierten Prüfung zuweisen."},{"id":"STM.9.2_gdn","name":"guidance","prose":"Bei manchen Anforderungen wird es eine Auswahl an möglichen einsetzbaren Werten geben, welche durch andere Normen und Standards vorgegeben sein können."}],"props":[{"name":"alt-identifier","value":"422b1228-e297-49a5-a3ad-29349c2ca03e"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv","name":"sec_level","value":"normal-SdT"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv","name":"effort_level","value":"0"}],"title":"Weitere Parameter"}]}]},{"id":"UMS","props":[{"name":"label","value":"UMS","remarks":"Die Praktik Umsetzung sorgt für die systematische Planung, Implementierung und Dokumentation von Anforderungen bzw. der Sicherheitsmaßnahmen, die aus der Strukturmodellierung und Risikobewertung abgeleitet wurden. Sie stellt sicher, dass identifizierte Sicherheitsanforderungen effektiv in die organisatorischen und technischen Prozesse integriert werden. Diese Praktik umfasst die detaillierte Planung von Maßnahmen, die Festlegung von Verantwortlichkeiten und Zeitplänen sowie die Bereitstellung notwendiger Ressourcen. Zudem beinhaltet sie die Nachverfolgung der Implementierung und die Dokumentation der umgesetzten Maßnahmen.  Während die Praktik Strukturmodellierung die notwendigen Anforderungen identifiziert und die Praktik Monitoring-Evaluation die Wirksamkeit der Maßnahmen überprüft, konzentriert sich die Umsetzung auf die effiziente und effektive Realisierung der erforderlichen Sicherheitsmaßnahmen."},{"name":"alt-identifier","value":"af61e9e7-80ee-4630-b603-c615c6a966ec"}],"title":"Umsetzung","groups":[{"id":"UMS.1","props":[{"name":"label","value":"1"},{"name":"alt-identifier","value":"6f601170-b962-46c9-9924-8ab879831057"}],"title":"Ermittlung des Umsetzungsstatus","controls":[{"id":"UMS.1.1","class":"BSI-Methodik-Grundschutz-plus-plus","parts":[{"id":"UMS.1.1_stm","name":"statement","props":[{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv","name":"result","value":"den Umsetzungsstatus der Anforderungen der verschiedenen Praktiken"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv","name":"result_specification","value":"vollständig"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv","name":"action_word","value":"überprüfen"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv","name":"modal_verb","value":"MUSS"}],"prose":"Umsetzung MUSS den Umsetzungsstatus der Anforderungen der verschiedenen Praktiken vollständig überprüfen."},{"id":"UMS.1.1_gdn","name":"guidance","prose":"Der Umsetzungsstatus einer Anforderung kann grundsätzlich nur „umgesetzt“ („ja“) oder „nicht umgesetzt“ („nein“) sein. Eine Anforderung gilt nur dann als umgesetzt, wenn sie selbst sowie alle in Abhängigkeit stehenden Anforderungen umgesetzt sind."}],"props":[{"name":"alt-identifier","value":"e2c90fc0-e6e5-4a89-8099-39360b6e8eb9"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv","name":"sec_level","value":"normal-SdT"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv","name":"effort_level","value":"0"}],"title":"Ermittlung des Umsetzungsstatus"}]},{"id":"UMS.2","props":[{"name":"label","value":"2"},{"name":"alt-identifier","value":"867d4b3e-164b-4a57-8143-7f9d5e7c2bc4"}],"title":"Bewertung fehlender Umsetzungen","controls":[{"id":"UMS.2.1","class":"BSI-Methodik-Grundschutz-plus-plus","parts":[{"id":"UMS.2.1_stm","name":"statement","props":[{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv","name":"result","value":"das bestehende Restrisiko durch die nicht umgesetzten Anforderungen"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv","name":"action_word","value":"festlegen"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv","name":"modal_verb","value":"SOLLTE"}],"prose":"Umsetzung SOLLTE das bestehende Restrisiko durch die nicht umgesetzten Anforderungen festlegen."},{"id":"UMS.2.1_gdn","name":"guidance","prose":"Die Risiken der Nichtumsetzung von Anforderungen können auch konsolidiert werden, um diese für die Institutionsleitung nachvollziehbarer zu machen."}],"props":[{"name":"alt-identifier","value":"8b7626ab-3fcf-45bd-a7ba-45705436c909"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv","name":"sec_level","value":"normal-SdT"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv","name":"effort_level","value":"2"}],"title":"Bewertung des Restrisikos"}]},{"id":"UMS.3","props":[{"name":"label","value":"3"},{"name":"alt-identifier","value":"33928743-3371-40c9-a2ae-4f392566f08b"}],"title":"Umsetzungsplanung und Priorisierung","controls":[{"id":"UMS.3.1","class":"BSI-Methodik-Grundschutz-plus-plus","parts":[{"id":"UMS.3.1_stm","name":"statement","props":[{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv","name":"documentation","value":"Umsetzungsplan"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv","name":"result","value":"ein Verfahren zur Festlegung von Maßnahmen für die Umsetzung der bisher nicht umgesetzten Anforderungen"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv","name":"result_specification","value":"des Anforderungspakets als Ergebnis der Praktik Strukturmodellierung"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv","name":"action_word","value":"verankern"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv","name":"modal_verb","value":"MUSS"}],"prose":"Umsetzung MUSS ein Verfahren zur Festlegung von Maßnahmen für die Umsetzung der bisher nicht umgesetzten Anforderungen des Anforderungspakets als Ergebnis der Praktik Strukturmodellierung verankern."},{"id":"UMS.3.1_gdn","name":"guidance","prose":"Das Verfahren ist auf die Organisation abzustimmen. Dabei empfiehlt es sich zu prüfen, ob Maßnahmen etabliert sind, die mehrere Anforderungen zugleich abdecken. Ebenso kann das Verfahren genutzt werden, um Synergieeffekte zu erschließen, indem ähnliche Defizite in anderen Bereichen identifiziert und mit gemeinsamen Lösungen adressiert werden."}],"props":[{"name":"alt-identifier","value":"c179a2e9-4e6e-4115-a85e-d66ac93b00e8"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv","name":"sec_level","value":"normal-SdT"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv","name":"effort_level","value":"0"}],"title":"Umsetzungsplanung"},{"id":"UMS.3.2","class":"BSI-Methodik-Grundschutz-plus-plus","links":[{"rel":"required","href":"#UMS.3.1"}],"parts":[{"id":"UMS.3.2_stm","name":"statement","props":[{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv","name":"documentation","value":"Umsetzungsplan"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv","name":"result","value":"eine Priorisierung der festgelegten Maßnahmen"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv","name":"result_specification","value":"auf Basis der der Risikobewertung, Abhängigkeiten und Ressourcenverfügbarkeit"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv","name":"action_word","value":"festlegen"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv","name":"modal_verb","value":"MUSS"}],"prose":"Umsetzung MUSS eine Priorisierung der festgelegten Maßnahmen auf Basis der der Risikobewertung, Abhängigkeiten und Ressourcenverfügbarkeit festlegen."},{"id":"UMS.3.2_gdn","name":"guidance","prose":"Es ist eine geeignete Priorisierung der Anforderungen und Maßnahmenumsetzung vorzunehmen. Gesetzliche Verpflichtungen und Compliance, der Umsetzungsaufwand einer Anforderung bzw. Maßnahme oder die Risikomitigierung der Anforderungen können bei der Priorisierung helfen."}],"props":[{"name":"alt-identifier","value":"03f6a09f-5be8-405f-a7b5-4f4fd7034413"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv","name":"sec_level","value":"normal-SdT"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv","name":"effort_level","value":"0"}],"title":"Priorisierung von Maßnahmen"}]},{"id":"UMS.4","props":[{"name":"label","value":"4"},{"name":"alt-identifier","value":"9279a98f-4ce0-42fd-9d05-b6e58e952cf9"}],"title":"Zuständigkeiten und Umsetzungsfristen","controls":[{"id":"UMS.4.1","class":"BSI-Methodik-Grundschutz-plus-plus","links":[{"rel":"related","href":"#UMS.3.1"}],"parts":[{"id":"UMS.4.1_stm","name":"statement","props":[{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv","name":"documentation","value":"Umsetzungsplan"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv","name":"result","value":"Zuständige für die Umsetzung der bisher nicht erfüllten Anforderungen"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv","name":"result_specification","value":"eindeutig"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv","name":"action_word","value":"zuweisen"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv","name":"modal_verb","value":"MUSS"}],"prose":"Umsetzung MUSS Zuständige für die Umsetzung der bisher nicht erfüllten Anforderungen eindeutig zuweisen."},{"id":"UMS.4.1_gdn","name":"guidance","prose":"Die Zuständigen für die Umsetzung der Priorisierungen müssen eindeutig zugewiesen werden, wobei die zugewiesenen Personen oder Teams über die erforderlichen Kompetenzen und Ressourcen verfügen sollten. Die Zuweisung von Zuständigkeiten sollte in Abstimmung mit den betroffenen Bereichen erfolgen, um Akzeptanz und Commitment zu fördern. Insbesondere bei komplexeren Maßnahmen kann es sinnvoll sein, sowohl eine fachliche als auch eine operative Verantwortung zu definieren und bei Bedarf Teilaufgaben mit eigenen Verantwortlichkeiten zu bilden"}],"props":[{"name":"alt-identifier","value":"0ea195d5-64a3-4c83-84a4-7acb976a0f26"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv","name":"sec_level","value":"normal-SdT"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv","name":"effort_level","value":"0"}],"title":"Benennung von Umsetzungszuständigen"},{"id":"UMS.4.2","class":"BSI-Methodik-Grundschutz-plus-plus","links":[{"rel":"related","href":"#UMS.3.1"}],"parts":[{"id":"UMS.4.2_stm","name":"statement","props":[{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv","name":"documentation","value":"Umsetzungsplan"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv","name":"result","value":"ein realistisches Zieldatum für die Umsetzung der bisher nicht umgesetzten Anforderungen"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv","name":"action_word","value":"festlegen"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv","name":"modal_verb","value":"MUSS"}],"prose":"Umsetzung MUSS ein realistisches Zieldatum für die Umsetzung der bisher nicht umgesetzten Anforderungen festlegen."},{"id":"UMS.4.2_gdn","name":"guidance","prose":"Für jede umzusetzende Maßnahme muss ein realistisches Zieldatum festgelegt werden, das den Umfang, die verfügbaren Ressourcen und mögliche Abhängigkeiten berücksichtigt. Die Einhaltung dieser Fristen muss nachgehalten werden. Bei Überschreitung der Fristen sind geeignete Maßnahmen einzuleiten."}],"props":[{"name":"alt-identifier","value":"3c10793d-1a2d-490c-9c7d-479f8f2c102b"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv","name":"sec_level","value":"normal-SdT"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv","name":"effort_level","value":"0"}],"title":"Festlegung von Umsetzungsfristen"}]},{"id":"UMS.5","props":[{"name":"label","value":"5"},{"name":"alt-identifier","value":"86b2b22e-b2db-412b-947e-6c1a6132e656"}],"title":"Freigabeverfahren und Ausnahmemanagement","controls":[{"id":"UMS.5.1","class":"BSI-Methodik-Grundschutz-plus-plus","parts":[{"id":"UMS.5.1_stm","name":"statement","props":[{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv","name":"result","value":"Ausnahmegenehmigungen für Verpflichtungen"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv","name":"result_specification","value":"durch eine zuständige Person oder Rolle"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv","name":"action_word","value":"autorisieren"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv","name":"modal_verb","value":"MUSS"}],"prose":"Umsetzung MUSS Ausnahmegenehmigungen für Verpflichtungen durch eine zuständige Person oder Rolle autorisieren."},{"id":"UMS.5.1_gdn","name":"guidance","prose":"Bei Zielkonflikten zwischen Verpflichtungen müssen diese gegeneinander abgewogen und falls erforderlich Ausnahmegenehmigungen eingeholt werden. Zur Entscheidungsfindung kann eine Risikobetrachtung vorgenommen werden. Hierbei sind auch die Anforderungen zur \"Aufgabenzuweisung\" und \"Anweisung zur Einhaltung\" zu berücksichtigen."}],"props":[{"name":"alt-identifier","value":"c3e9f936-827a-4af2-a750-0777a082477d"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv","name":"sec_level","value":"normal-SdT"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv","name":"effort_level","value":"0"}],"title":"Autorisierung von Ausnahmen"},{"id":"UMS.5.2","class":"BSI-Methodik-Grundschutz-plus-plus","links":[{"rel":"required","href":"#UMS.5.1"}],"parts":[{"id":"UMS.5.2_stm","name":"statement","props":[{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv","name":"documentation","value":"Freigegebene Ausnahmegenehmigung"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv","name":"result","value":"Ausnahmegenehmigungen"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv","name":"result_specification","value":"mit Begründung"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv","name":"action_word","value":"dokumentieren"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv","name":"modal_verb","value":"MUSS"}],"prose":"Umsetzung MUSS Ausnahmegenehmigungen mit Begründung dokumentieren."},{"id":"UMS.5.2_gdn","name":"guidance","prose":"Um rechtlich bedeutsame Entscheidungen zur Informationsverarbeitung später nachvollziehen und ggf. anpassen zu können, ist eine Dokumentation dieser Entscheidungen wichtig. Die Dokumentation muss nicht separat von Geschäftsprozessen vorgenommen werden. Vielmehr ist es sogar empfehlenswert, Geschäftsprozesse und Entscheidungsdokumentation zu integrieren, z. B. in CMDBs, Aktenverzeichnissen, Commit-Messages oder Ticketsystemen. Hierbei sind auch die Anforderungen zur \"Aufgabenzuweisung\" und \"Anweisung zur Einhaltung\" zu berücksichtigen."}],"props":[{"name":"alt-identifier","value":"df054b8b-955d-42fa-9f35-111b4ac72e98"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv","name":"sec_level","value":"normal-SdT"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv","name":"effort_level","value":"0"}],"title":"Dokumentation von Ausnahmen"}]},{"id":"UMS.6","props":[{"name":"label","value":"6"},{"name":"alt-identifier","value":"7a14fdd1-99c6-4443-b48d-90e1bf4a73a9"}],"title":"Fortschrittsverfolgung der Realisierung","controls":[{"id":"UMS.6.1","class":"BSI-Methodik-Grundschutz-plus-plus","links":[{"rel":"required","href":"#UMS.3.1"}],"parts":[{"id":"UMS.6.1_stm","name":"statement","props":[{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv","name":"documentation","value":"Umsetzungsplan"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv","name":"result","value":"ein Verfahren für die Nachverfolgung der Umsetzung von Maßnahmen"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv","name":"action_word","value":"verankern"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv","name":"modal_verb","value":"MUSS"}],"prose":"Umsetzung MUSS ein Verfahren für die Nachverfolgung der Umsetzung von Maßnahmen verankern."},{"id":"UMS.6.1_gdn","name":"guidance","prose":"Es wird empfohlen, dass der Prozess zur Fortschrittsverfolgung der Umsetzung von Anforderungen bzw. Sicherheitsmaßnahmen folgende Aspekte umfasst: Planung und Definition (Zielsetzung, KPI-Definition und detaillierte Umsetzungsplanung), Implementierung (Start der Umsetzung mit klarer Verantwortlichkeit und initialer Bestandsaufnahme), Überwachung (Regelmäßiges Status-Reporting, Soll-Ist-Vergleiche und KPI-Messungen), Bewertung und Anpassung (Ursachenanalyse, Korrekturmaßnahmen und regelmäßige Kommunikation an Stakeholder), Dokumentation und Lessons Learned (Abschlussdokumentation und kontinuierliche Verbesserung mittels PDCA-Zyklus). Eine strukturierte Vorgehensweise gewährleistet, dass Fortschritte transparent nachvollzogen werden, Abweichungen frühzeitig erkannt und der Sicherheitsstatus stetig verbessert werden kann."}],"props":[{"name":"alt-identifier","value":"5ebbee40-3069-4d3e-a708-69f50c017059"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv","name":"sec_level","value":"normal-SdT"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv","name":"effort_level","value":"0"}],"title":"Nachverfolgung des Umsetzungsfortschritts"},{"id":"UMS.6.2","class":"BSI-Methodik-Grundschutz-plus-plus","links":[{"rel":"required","href":"#UMS.3.1"}],"parts":[{"id":"UMS.6.2_stm","name":"statement","props":[{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv","name":"documentation","value":"Umsetzungsplan"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv","name":"result","value":"ein Verfahren zur Fortschreibung des Umsetzungsplans"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv","name":"action_word","value":"verankern"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv","name":"modal_verb","value":"MUSS"}],"prose":"Umsetzung MUSS ein Verfahren zur Fortschreibung des Umsetzungsplans verankern."},{"id":"UMS.6.2_gdn","name":"guidance","prose":"Die Fortschreibung sollte die Anpassung von Zeitplänen und Ressourcenzuweisungen, Neubewertungen von Prioritäten, die Ergänzung neuer Maßnahmen und Streichung nicht mehr relevanter Maßnahmen sowie die Integration von Erkenntnissen aus der Wirksamkeitsprüfung umfassen."}],"props":[{"name":"alt-identifier","value":"2383a636-5eab-43e4-b026-c6fbaae7ae56"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv","name":"sec_level","value":"normal-SdT"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv","name":"effort_level","value":"0"}],"title":"Fortschreibung des Umsetzungsplans"}]},{"id":"UMS.7","props":[{"name":"label","value":"7"},{"name":"alt-identifier","value":"1326a330-d71f-4e65-bd23-63c9f3fbc368"}],"title":"Wahrung von Compliance in der Umsetzung","controls":[{"id":"UMS.7.1","class":"BSI-Methodik-Grundschutz-plus-plus","links":[{"rel":"related","href":"#PERF.2.1"}],"parts":[{"id":"UMS.7.1_stm","name":"statement","props":[{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv","name":"documentation","value":"Compliance-Verpflichtungen"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv","name":"result","value":"ein Verfahren zur Überprüfung von Compliance im Umsetzungsprozess"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv","name":"action_word","value":"verankern"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv","name":"modal_verb","value":"MUSS"}],"prose":"Umsetzung MUSS ein Verfahren zur Überprüfung von Compliance im Umsetzungsprozess verankern."},{"id":"UMS.7.1_gdn","name":"guidance","prose":"Die regelmäßige Überprüfung und Aktualisierung der Compliance-bezogenen Prozesse und Anweisungen stellt sicher, dass sie aktuell und wirksam bleiben, auch wenn sich die regulatorischen Anforderungen ändern. Diese kontinuierliche Anpassung ist ein wesentlicher Bestandteil eines lebendigen und effektiven Compliance-Managements innerhalb des ISMS. Beispiele für ein geeignetes Verfahren kann der Einsatz von Prüflisten oder Auditierung sein."}],"props":[{"name":"alt-identifier","value":"4409672d-fbc3-4126-b87d-fc33c0f3c253"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv","name":"sec_level","value":"normal-SdT"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv","name":"effort_level","value":"0"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv","name":"tags","value":"Compliance Management"}],"title":"Wahrung von Compliance in der Umsetzung"}]}]},{"id":"VRB","props":[{"name":"label","value":"VRB","remarks":"Die Praktik Verbesserung gewährleistet die kontinuierliche Weiterentwicklung und Optimierung des Informationssicherheitsmanagementsystems. Sie nutzt die Erkenntnisse aus dem Monitoring und der Evaluation, um die Wirksamkeit der Sicherheitsmaßnahmen zu erhöhen.  Diese Praktik umfasst die Planung und Umsetzung von Korrektur- und Vorbeugungsmaßnahmen. Ziel ist es, einen Prozess der kontinuierlichen Verbesserung zu etablieren, der flexibel auf neue Bedrohungen und veränderte Rahmenbedingungen reagieren kann. Die Verbesserung schließt den PDCA-Zyklus ab und leitet gleichzeitig einen neuen Zyklus ein, indem sie Impulse für Anpassungen in den Praktiken Governance und Compliance, Strukturmodellierung und Umsetzung gibt. Sie stellt sicher, dass das ISMS dynamisch bleibt und sich an veränderte Anforderungen und Bedrohungen anpasst."},{"name":"alt-identifier","value":"662fb453-caf1-4e01-8152-b88027b71438"}],"title":"Verbesserung","groups":[{"id":"VRB.1","props":[{"name":"label","value":"1"},{"name":"alt-identifier","value":"26493190-fca2-4256-af0f-65adcbba8dad"}],"title":"Kontinuierliche Verbesserung","controls":[{"id":"VRB.1.1","class":"BSI-Methodik-Grundschutz-plus-plus","parts":[{"id":"VRB.1.1_stm","name":"statement","props":[{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv","name":"result","value":"ein Verfahren zur kontinuierlichen Verbesserung des ISMS"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv","name":"action_word","value":"verankern"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv","name":"modal_verb","value":"MUSS"}],"prose":"Verbesserung MUSS ein Verfahren zur kontinuierlichen Verbesserung des ISMS verankern."},{"id":"VRB.1.1_gdn","name":"guidance","prose":"In diesem Prozessschritt werden Erkenntnisse aus der Überwachung in konkrete Verbesserungsmaßnahmen umgesetzt. Dieses Verfahren ist ein Prozess, welcher sich im PDCA-Zyklus von der Praktik Strukturmodellierung über die Umsetzung bis hin zum Monitoring und der Evaluierung erstreckt."}],"props":[{"name":"alt-identifier","value":"af4befb6-3550-4461-bd46-78af23a02817"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv","name":"sec_level","value":"normal-SdT"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv","name":"effort_level","value":"0"}],"title":"Verfahren zur kontinuierlichen Verbesserung"},{"id":"VRB.1.2","class":"BSI-Methodik-Grundschutz-plus-plus","parts":[{"id":"VRB.1.2_stm","name":"statement","props":[{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv","name":"result","value":"ein Verfahren zum Umgang mit Änderungen im ISMS"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv","name":"action_word","value":"verankern"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv","name":"modal_verb","value":"MUSS"}],"prose":"Verbesserung MUSS ein Verfahren zum Umgang mit Änderungen im ISMS verankern."},{"id":"VRB.1.2_gdn","name":"guidance","prose":"Änderungen im ISMS erfolgen geplant und strukturiert und werden systematisch dokumentiert. Wenn beispielsweise Parameter in der Risikobetrachtung verändert werden, kann dies Auswirkungen auf die Vergleichbarkeit und Nachvollziehbarkeit sowie die Integrität im Rahmen der Managementbewertung zur Folge haben."}],"props":[{"name":"alt-identifier","value":"b7831de9-e3ff-4c82-b6d0-75a90f3f50df"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv","name":"sec_level","value":"normal-SdT"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv","name":"effort_level","value":"0"}],"title":"Änderungen im ISMS"}]},{"id":"VRB.2","props":[{"name":"label","value":"2"},{"name":"alt-identifier","value":"7c07b3bb-c479-4b66-a527-365850d2f694"}],"title":"Umgang mit Nicht-Konformitäten","controls":[{"id":"VRB.2.1","class":"BSI-Methodik-Grundschutz-plus-plus","links":[{"rel":"related","href":"#VRB.2.2"}],"parts":[{"id":"VRB.2.1_stm","name":"statement","props":[{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv","name":"result","value":"eine Methode zur Überprüfung von Nicht-Konformitäten"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv","name":"result_specification","value":"hinsichtlich Ursachen und Wiederauftreten"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv","name":"action_word","value":"festlegen"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv","name":"modal_verb","value":"MUSS"}],"prose":"Verbesserung MUSS eine Methode zur Überprüfung von Nicht-Konformitäten hinsichtlich Ursachen und Wiederauftreten festlegen."},{"id":"VRB.2.1_gdn","name":"guidance","prose":"Die Methode sollte eine systematische Erfassung und Dokumentation aller identifizierten Nicht-Konformitäten, unabhängig davon, ob sie durch interne Audits, externe Prüfungen, Vorfälle oder im Rahmen des regulären Betriebs entdeckt wurden, enthalten. Außerdem sollte sie sich auf eine gründliche Ursachenanalyse stützen, die nicht nur die unmittelbaren, sondern auch die grundlegenden Ursachen der Nicht-Konformität identifiziert (Root-Cause-Analysis)."}],"props":[{"name":"alt-identifier","value":"55056da1-3773-4fb8-b7bf-9d5d7e42f5e6"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv","name":"sec_level","value":"normal-SdT"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv","name":"effort_level","value":"0"}],"title":"Umgang mit Nicht-Konformitäten"},{"id":"VRB.2.2","class":"BSI-Methodik-Grundschutz-plus-plus","links":[{"rel":"related","href":"#VRB.2.1"}],"parts":[{"id":"VRB.2.2_stm","name":"statement","props":[{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv","name":"result","value":"Notwendigkeit zur Anpassung des ISMS"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv","name":"result_specification","value":"hinsichtlich der Nicht-Konformitäten"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv","name":"action_word","value":"überprüfen"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv","name":"modal_verb","value":"SOLLTE"}],"prose":"Verbesserung SOLLTE Notwendigkeit zur Anpassung des ISMS hinsichtlich der Nicht-Konformitäten überprüfen."},{"id":"VRB.2.2_gdn","name":"guidance","prose":"Hier erfolgt eine Bewertung der Wahrscheinlichkeit des Wiederauftretens von Nicht-Konformitäten und der potenziellen  Auswirkungen bei erneutem Auftreten, eine Überprüfung, ob ähnliche Nicht-Konformitäten in anderen Bereichen der Institution bestehen oder auftreten könnten und eine Analyse, inwieweit die Nicht-Konformität auf systemische Schwächen im ISMS hinweist und ob grundlegende Anpassungen des ISMS erforderlich sind.  Bei wiederholten oder systematischen Nicht-Konformitäten sollten jedoch die zugrundeliegenden Prozesse, Richtlinien oder Verantwortlichkeiten überprüft und bei Bedarf angepasst werden."}],"props":[{"name":"alt-identifier","value":"b2be1d91-1744-467f-abd1-7bcde818fd65"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv","name":"sec_level","value":"normal-SdT"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv","name":"effort_level","value":"2"}],"title":"Anpassung des ISMS"}]},{"id":"VRB.3","props":[{"name":"label","value":"3"},{"name":"alt-identifier","value":"84043e81-8d07-407d-85c0-1cc9ebabaa8d"}],"title":"Identifikation von Verbesserungspotenzialen","controls":[{"id":"VRB.3.1","class":"BSI-Methodik-Grundschutz-plus-plus","parts":[{"id":"VRB.3.1_stm","name":"statement","props":[{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv","name":"result","value":"eine Methode zur Überprüfung und Bewertung von Verbesserungspotentialen"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv","name":"result_specification","value":"unter Berücksichtigung der damit verbundenen Risiken"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv","name":"action_word","value":"verankern"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv","name":"modal_verb","value":"SOLLTE"}],"prose":"Verbesserung SOLLTE eine Methode zur Überprüfung und Bewertung von Verbesserungspotentialen unter Berücksichtigung der damit verbundenen Risiken verankern."},{"id":"VRB.3.1_gdn","name":"guidance","prose":"Die Methode beinhaltet beispielsweise die Bewertung des Umfelds der Institution (einschließlich der Bewertung der Gefährdungslage), die Auswertung des Umsetzungsplans, die Auswertung von Auditergebnissen und Sicherheitsvorfällen sowie die Berücksichtigung von Ad hoc-Eingaben (z. B. akute Verbesserungspotentiale)."}],"props":[{"name":"alt-identifier","value":"9e104747-342c-4fae-a76f-0c3ee159aba5"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv","name":"sec_level","value":"normal-SdT"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv","name":"effort_level","value":"3"}],"title":"Identifikation von Verbesserungspotenzialen"}]},{"id":"VRB.4","props":[{"name":"label","value":"4"},{"name":"alt-identifier","value":"e3d7bc94-002e-410f-99e8-ee0c396dadba"}],"title":"Korrektur- und Verbesserungsvorschläge","controls":[{"id":"VRB.4.1","class":"BSI-Methodik-Grundschutz-plus-plus","parts":[{"id":"VRB.4.1_stm","name":"statement","props":[{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv","name":"result","value":"angemessene Korrekturmaßnahmen zur Beseitigung der Ursachen von Fehlern"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv","name":"action_word","value":"festlegen"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv","name":"modal_verb","value":"MUSS"}],"prose":"Verbesserung MUSS angemessene Korrekturmaßnahmen zur Beseitigung der Ursachen von Fehlern festlegen."},{"id":"VRB.4.1_gdn","name":"guidance","prose":"Im Gegensatz zum reaktiven Umgang mit Nicht-Konformitäten zielt dieser Ansatz darauf ab, auch ohne vorangegangene Probleme oder Abweichungen Optimierungsmöglichkeiten zu erkennen und zu nutzen. Bei der Bewertung von Verbesserungspotenzialen ist eine risikoorientierte Herangehensweise wichtig. Nicht jede Verbesserungsmöglichkeit bietet denselben Mehrwert für die Institution. Die Bewertung sollte das Potenzial zur Risikoreduktion, den erwarteten Ressourcenaufwand, die strategische Bedeutung für die Informationssicherheitsziele, mögliche Synergien mit anderen Verbesserungsmaßnahmen oder Projekten und die Nachhaltigkeit der Verbesserung berücksichtigen."}],"props":[{"name":"alt-identifier","value":"6bfdeefe-8025-4e28-8496-f78fd19f5f7d"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv","name":"sec_level","value":"normal-SdT"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv","name":"effort_level","value":"0"}],"title":"Korrekturmaßnahmen"},{"id":"VRB.4.2","class":"BSI-Methodik-Grundschutz-plus-plus","links":[{"rel":"required","href":"#VRB.3.1"}],"parts":[{"id":"VRB.4.2_stm","name":"statement","props":[{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv","name":"result","value":"angemessene Maßnahmen zur Nutzung von Verbesserungspotentialen"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv","name":"result_specification","value":"unter Berücksichtigung der damit verbundenen Risiken"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv","name":"action_word","value":"festlegen"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv","name":"modal_verb","value":"MUSS"}],"prose":"Verbesserung MUSS angemessene Maßnahmen zur Nutzung von Verbesserungspotentialen unter Berücksichtigung der damit verbundenen Risiken festlegen."},{"id":"VRB.4.2_gdn","name":"guidance","prose":"Für Verbesserungen zur Nutzung identifizierter Potenziale sollte ein strukturierter Ansatz verfolgt werden. Diese zielen auf die proaktive Weiterentwicklung des ISMS ab. Sie können beispielsweise den Einsatz neuer oder verbesserter Technologien und Methoden,die  Stärkung der Sicherheitskultur und des Sicherheitsbewusstseins, die Erweiterung des Anwendungsbereiches des ISMS oder die Verbesserung der Integration des ISMS in andere Managementsysteme und Geschäftsprozesse betreffen."}],"props":[{"name":"alt-identifier","value":"72bd4983-953e-42ec-9870-113fb0d8c079"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv","name":"sec_level","value":"normal-SdT"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv","name":"effort_level","value":"0"}],"title":"Verbesserungsmaßnahmen"}]},{"id":"VRB.5","props":[{"name":"label","value":"5"},{"name":"alt-identifier","value":"b2718f17-64bf-4656-9a8b-d88748863ac4"}],"title":"Korrektur- und Verbesserungsplan","controls":[{"id":"VRB.5.1","class":"BSI-Methodik-Grundschutz-plus-plus","links":[{"rel":"required","href":"#VRB.4.2"},{"rel":"required","href":"#VRB.4.1"}],"parts":[{"id":"VRB.5.1_stm","name":"statement","props":[{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv","name":"documentation","value":"Umsetzungsplan"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv","name":"result","value":"den Maßnahmen zur Korrektur und Verbesserung Prioritäten"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv","name":"action_word","value":"zuweisen"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv","name":"modal_verb","value":"MUSS"}],"prose":"Verbesserung MUSS den Maßnahmen zur Korrektur und Verbesserung Prioritäten zuweisen."},{"id":"VRB.5.1_gdn","name":"guidance","prose":"Maßnahmen zur Verbesserung müssen in den Umsetzungsplan einfließen. Dort werden die Zuständigen für die Umsetzung,  Zieldatum der Umsetzung, die Anforderungsbeschreibung, das Zielobjekt bzw. den Anwendungsbereich,  die verantwortliche Stelle,  Start- und Zieldatum (Fristen),  Prioritäten,  Status der Umsetzung,  ergänzende Aktivitäten z. B. Schulungen, Risiken inkl. Begründung (Was bleibt offen? Was wurde nicht umgesetzt und warum?), Ressourcenplanung, Abhängigkeiten zu anderen Anforderungen, sowie Datum der Freigabe und Unterschrift des Risikoeigentümers nachverfolgt."}],"props":[{"name":"alt-identifier","value":"fe0b2f60-809f-4ea6-a956-26aa3c6afde6"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv","name":"sec_level","value":"normal-SdT"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv","name":"effort_level","value":"0"}],"title":"Priorisierung von Maßnahmen"}]},{"id":"VRB.6","props":[{"name":"label","value":"6"},{"name":"alt-identifier","value":"3e413493-ecda-446c-9ed8-77825995aaeb"}],"title":"Wirksamkeitsprüfung","controls":[{"id":"VRB.6.1","class":"BSI-Methodik-Grundschutz-plus-plus","parts":[{"id":"VRB.6.1_stm","name":"statement","props":[{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv","name":"result","value":"die Wirksamkeit der umgesetzten Maßnahmen"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv","name":"result_specification","value":"{{regelmäßig}}"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv","name":"action_word","value":"überprüfen"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv","name":"modal_verb","value":"MUSS"}],"prose":"Verbesserung MUSS die Wirksamkeit der umgesetzten Maßnahmen {{ insert: param, vrb.6.1-prm1 }} überprüfen."},{"id":"VRB.6.1_gdn","name":"guidance","prose":"Die Wirksamkeit bewertet, ob die Maßnahmen den beabsichtigten Effekt erzielt haben. Hierfür sollten die Definition klarer, messbarer Kriterien für die Wirksamkeit jeder Maßnahme, die Durchführung gezielter Tests, Audits oder Überprüfungen nach Abschluss der Umsetzung, die Bewertung, ob die identifizierten Nicht-Konformitäten tatsächlich beseitigt oder die angestrebten Verbesserungen erreicht wurden sowie die Dokumentation der Ergebnisse der Wirksamkeitsprüfung berücksichtigt werden."}],"props":[{"name":"alt-identifier","value":"89d9eada-bcdb-4b47-a3de-b26e22cca2a4"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv","name":"sec_level","value":"normal-SdT"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv","name":"effort_level","value":"0"}],"title":"Wirksamkeitsprüfung","params":[{"id":"vrb.6.1-prm1","label":"regelmäßig","props":[{"name":"alt-identifier","value":"89d9eada-bcdb-4b47-a3de-b26e22cca2a4"}]}]}]},{"id":"VRB.7","props":[{"name":"label","value":"7"},{"name":"alt-identifier","value":"3fc75a52-d139-425b-bb94-3ff6ec542d7d"}],"title":"Bewertung der erreichten Verbesserung","controls":[{"id":"VRB.7.1","class":"BSI-Methodik-Grundschutz-plus-plus","parts":[{"id":"VRB.7.1_stm","name":"statement","props":[{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv","name":"result","value":"ein Verfahren zur Bewertung der erreichten Verbesserung"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv","name":"result_specification","value":"unter Berücksichtigung der damit verbundenen Risiken"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv","name":"action_word","value":"verankern"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv","name":"modal_verb","value":"SOLLTE"}],"prose":"Verbesserung SOLLTE ein Verfahren zur Bewertung der erreichten Verbesserung unter Berücksichtigung der damit verbundenen Risiken verankern."},{"id":"VRB.7.1_gdn","name":"guidance","prose":"Die Bewertung kann beispielsweise durch interne Audits, die Messung von Key Performance Indicators (KPIs) vor und nach der Maßnahmenumsetzung oder durch technische Überprüfungen erfolgen. Im Ergebnis ist das Sicherheitsniveau der Institution transparent dargestellt und Trends der Verbesserung des Sicherheitsniveaus, insbesondere auch durch die Vergleichbarkeit mit vorigen Bewertungen, ableitbar."}],"props":[{"name":"alt-identifier","value":"148975f6-1a20-4fe6-9d3b-b6e69ec80ec5"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv","name":"sec_level","value":"normal-SdT"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv","name":"effort_level","value":"2"}],"title":"Bewertung der erreichten Verbesserung"}]},{"id":"VRB.8","props":[{"name":"label","value":"8"},{"name":"alt-identifier","value":"e74feb8d-d009-46ff-9222-afecbdb555a2"}],"title":"Behandlung von Compliance-Verstößen","controls":[{"id":"VRB.8.1","class":"BSI-Methodik-Grundschutz-plus-plus","links":[{"rel":"related","href":"#GC.7.1.1"},{"rel":"related","href":"#UMS.7.1"}],"parts":[{"id":"VRB.8.1_stm","name":"statement","props":[{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv","name":"documentation","value":"Compliance-Verpflichtungen"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv","name":"result","value":"ein Verfahren zur Behandlung von Verstößen"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv","name":"result_specification","value":"unter Berücksichtigung der Betroffenenrechte"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv","name":"action_word","value":"verankern"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv","name":"modal_verb","value":"SOLLTE"}],"prose":"Verbesserung SOLLTE ein Verfahren zur Behandlung von Verstößen unter Berücksichtigung der Betroffenenrechte verankern."},{"id":"VRB.8.1_gdn","name":"guidance","prose":"Das Verfahren sollte eine klare Definition enthalten, was als Verstoß gilt und die verschiedenen Arten von Verstößen kategorisieren. Es sollten  Melde- und Eskalationswegen für erkannte oder vermutete Verstöße festgelegt werden, ein systematischer Prozess zur Untersuchung und Dokumentation von Verstößen etabliert werden, eine Entscheidungsfindung über angemessene Reaktionen und Konsequenzen stattfinden und die Umsetzung beschlossener Maßnahmen sollte nachverfolgt werden."}],"props":[{"name":"alt-identifier","value":"8a5be79d-22b6-4a78-a87e-6445c9fdd20d"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv","name":"sec_level","value":"normal-SdT"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv","name":"effort_level","value":"2"}],"title":"Behandlung von Compliance-Verstößen"}]}]},{"id":"PERF","props":[{"name":"label","value":"PERF","remarks":"Die Praktik Monitoring-Evaluation stellt durch kontinuierliche Überwachung und systematische Bewertung sicher, dass die implementierten Sicherheitsmaßnahmen wirksam sind und die Sicherheitsziele der Organisation erreicht werden. Sie liefert Erkenntnisse über den aktuellen Sicherheitszustand und identifiziert Verbesserungspotentiale.  Im Rahmen dieser Praktik werden regelmäßige Sicherheitsaudits, kontinuierliches Monitoring von Sicherheitsereignissen sowie periodische Überprüfungen und Bewertungen des ISMS durchgeführt. Sie entspricht der \"Check-Phase\" im PDCA-Zyklus und dient dazu, Abweichungen von den definierten Zielen zu erkennen.  Die Ergebnisse der Monitoring-Evaluation fließen direkt in die Praktik Verbesserung ein, wo konkrete Maßnahmen zur Behebung identifizierter Schwachstellen und zur kontinuierlichen Weiterentwicklung des ISMS abgeleitet werden."},{"name":"alt-identifier","value":"929c7c4f-efe1-4092-907e-ba1e767a1ac3"}],"title":"Monitoring-Evaluation","groups":[{"id":"PERF.1","props":[{"name":"label","value":"1"},{"name":"alt-identifier","value":"68fb2d83-b361-4806-88dc-67455b24f87d"}],"title":"Leistungsbewertung des ISMS","controls":[{"id":"PERF.1.1","class":"BSI-Methodik-Grundschutz-plus-plus","parts":[{"id":"PERF.1.1_stm","name":"statement","props":[{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv","name":"result","value":"Verfahren und Regelungen zur Messung und Bewertung der Leistung des ISMS"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv","name":"action_word","value":"verankern"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv","name":"modal_verb","value":"MUSS"}],"prose":"Monitoring-Evaluation MUSS Verfahren und Regelungen zur Messung und Bewertung der Leistung des ISMS verankern."},{"id":"PERF.1.1_gdn","name":"guidance","prose":"Die bei der Festlegung des Verfahrens und der Regelungen im Einzelnen zu berücksichtigenden Inhalte ergeben sich aus den Anforderungen dieser Praktik.  Die Ergebnisse müssen strukturiert dokumentiert und an die relevanten Stakeholder kommuniziert werden."}],"props":[{"name":"alt-identifier","value":"02e914c1-69b6-4baa-a194-3c3c10a417de"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv","name":"sec_level","value":"normal-SdT"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv","name":"effort_level","value":"0"}],"title":"Verfahren und Regelungen","controls":[{"id":"PERF.1.1.1","class":"BSI-Methodik-Grundschutz-plus-plus","parts":[{"id":"PERF.1.1.1_stm","name":"statement","props":[{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv","name":"result","value":"die Gefährdungslage"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv","name":"result_specification","value":"in Bezug auf geänderte Rahmenbedingungen"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv","name":"action_word","value":"überprüfen"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv","name":"modal_verb","value":"SOLLTE"}],"prose":"Monitoring-Evaluation SOLLTE die Gefährdungslage in Bezug auf geänderte Rahmenbedingungen überprüfen."},{"id":"PERF.1.1.1_gdn","name":"guidance","prose":"Die Auswertung der Gefährdungslage im Hinblick auf Veränderungen stellt sicher, dass neue oder veränderte Rahmenbedingungen (organisatorischer, technischer oder rechtlicher Art) potenziell zusätzliche Gefährdungen erzeugen und deshalb im ISMS berücksichtigt werden; konkrete Prüfpunkte umfassen technische Veränderungen wie die Einführung neuer IT-Systeme, Software, Netzwerktechnologien oder Cloud-Dienste, organisatorische Veränderungen wie Outsourcing, neue Standorte, Umstrukturierungen sowie veränderte Schnittstellen oder Verantwortlichkeiten, rechtliche und regulatorische Änderungen wie neue Gesetze (z. B. NIS2, Anpassungen der DSGVO) und Branchenvorgaben, die zusätzliche Compliance-Risiken begründen, sowie eine veränderte Bedrohungslage durch neue Angriffsarten, aktuelle Sicherheitsvorfälle und CERT-Warnungen, was eine Aktualisierung der Gefährdungskataloge erforderlich machen kann; daraus folgen eine regelmäßige Überprüfung der Gefährdungslage (z. B. halbjährlich oder anlassbezogen), die Anpassung der Risikobetrachtung bei identifizierten neuen Gefährdungen, die Ableitung neuer Schutzmaßnahmen bzw. die Nachbesserung bestehender sowie die nachvollziehbare Dokumentation von Prüfungen und Ergebnissen im ISMS."}],"props":[{"name":"alt-identifier","value":"7797cd44-8cc3-4b75-a4b8-9faefe2c16d7"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv","name":"sec_level","value":"normal-SdT"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv","name":"effort_level","value":"2"}],"title":"Auswertung der Gefährdungslage"},{"id":"PERF.1.1.2","class":"BSI-Methodik-Grundschutz-plus-plus","parts":[{"id":"PERF.1.1.2_stm","name":"statement","props":[{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv","name":"result","value":"den Umsetzungsplan"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv","name":"result_specification","value":"in Bezug auf den Fortschritt, die Einhaltung von Fristen und der inhaltlichen Korrektheit {{regelmäßig}}"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv","name":"action_word","value":"überprüfen"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv","name":"modal_verb","value":"SOLLTE"}],"prose":"Monitoring-Evaluation SOLLTE den Umsetzungsplan in Bezug auf den Fortschritt, die Einhaltung von Fristen und der inhaltlichen Korrektheit {{ insert: param, perf.1.1.2-prm1 }} überprüfen."},{"id":"PERF.1.1.2_gdn","name":"guidance","prose":"Die Überprüfung eines Umsetzungsplans beinhaltet, ob Sicherheitsmaßnahmen vollständig, termingerecht und wirksam sowie inhaltlich korrekt umgesetzt wurden und ob sie die angestrebten Schutzziele erreichen. Dabei sind insbesondere der Umsetzungsstand, Abweichungen, Restrisiken und die Wirksamkeit der Maßnahmen systematisch zu überprüfen und für Managemententscheidungen auszuwerten. Umsetzungsdaten umfassen z. B. Fälligkeitsdatum, bis wann eine bestimmte Maßnahme umgesetzt sein muss, Meilensteine im Projektplan oder vereinbarte Endtermine für Kontrollen, Prüfungen oder technische Implementierungen."}],"props":[{"name":"alt-identifier","value":"ffabec9a-1a60-4edc-bdbb-adc79c43d7c8"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv","name":"sec_level","value":"normal-SdT"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv","name":"effort_level","value":"2"}],"title":"Auswertung des Umsetzungsplans","params":[{"id":"perf.1.1.2-prm1","label":"regelmäßig","props":[{"name":"alt-identifier","value":"ffabec9a-1a60-4edc-bdbb-adc79c43d7c8"}]}]},{"id":"PERF.1.1.3","class":"BSI-Methodik-Grundschutz-plus-plus","parts":[{"id":"PERF.1.1.3_stm","name":"statement","props":[{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv","name":"result","value":"die Umsetzung von festgelegten Maßnahmen aus Auditergebnissen"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv","name":"action_word","value":"überprüfen"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv","name":"modal_verb","value":"SOLLTE"}],"prose":"Monitoring-Evaluation SOLLTE die Umsetzung von festgelegten Maßnahmen aus Auditergebnissen überprüfen."},{"id":"PERF.1.1.3_gdn","name":"guidance","prose":"Die Auswertung von Auditergebnissen dient dazu, systematische Abweichungen, Schwachstellen und Verbesserungspotenziale im Informationssicherheitsmanagement zu identifizieren. Im Audit festgestellte Abweichungen, Hinweise und Empfehlungen werden ausgewertet, nach ihrer Bedeutung geordnet und in konkrete Maßnahmen überführt. Diese Maßnahmen werden anschließend überwacht und ihre Umsetzung nachverfolgt."}],"props":[{"name":"alt-identifier","value":"cc351e72-c510-4df1-9224-b7867aa8a39e"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv","name":"sec_level","value":"normal-SdT"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv","name":"effort_level","value":"2"}],"title":"Auswertung von Auditergebnissen"},{"id":"PERF.1.1.4","class":"BSI-Methodik-Grundschutz-plus-plus","parts":[{"id":"PERF.1.1.4_stm","name":"statement","props":[{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv","name":"result","value":"umgesetzte Maßnahmen als Folge von Sicherheitsvorfällen"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv","name":"action_word","value":"überprüfen"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv","name":"modal_verb","value":"SOLLTE"}],"prose":"Monitoring-Evaluation SOLLTE umgesetzte Maßnahmen als Folge von Sicherheitsvorfällen überprüfen."},{"id":"PERF.1.1.4_gdn","name":"guidance","prose":"Bei der Auswertung von Sicherheitsvorfällen sollten Ursachen, Auswirkungen, Reaktionen und Schwachstellen systematisch analysiert werden, um gezielte Verbesserungsmaßnahmen abzuleiten. Wichtig ist, dass sowohl die Wirksamkeit der Sofortmaßnahmen als auch die Umsetzung und Nachhaltigkeit der Folgemaßnahmen überprüft werden."}],"props":[{"name":"alt-identifier","value":"210472b2-d941-421f-ba5d-0a62eb8e8cf0"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv","name":"sec_level","value":"normal-SdT"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv","name":"effort_level","value":"2"}],"title":"Auswertung von Sicherheitsvorfällen"}]}]},{"id":"PERF.2","props":[{"name":"label","value":"2"},{"name":"alt-identifier","value":"63f59113-8455-4a98-9640-e2cfafdde7e0"}],"title":"Überwachung der Compliance","controls":[{"id":"PERF.2.1","class":"BSI-Methodik-Grundschutz-plus-plus","links":[{"rel":"related","href":"#GC.7.1"},{"rel":"related","href":"#UMS.7.1"}],"parts":[{"id":"PERF.2.1_stm","name":"statement","props":[{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv","name":"result","value":"die Einhaltung von Verpflichtungen"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv","name":"result_specification","value":"{{regelmäßig}} sowie anlassbezogen"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv","name":"action_word","value":"überprüfen"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv","name":"modal_verb","value":"SOLLTE"}],"prose":"Monitoring-Evaluation SOLLTE die Einhaltung von Verpflichtungen {{ insert: param, perf.2.1-prm1 }} sowie anlassbezogen überprüfen."},{"id":"PERF.2.1_gdn","name":"guidance","prose":"Im Rahmen der Compliance-Überwachung sollte die Einhaltung von Verpflichtungen regelmäßig sowie anlassbezogen überprüft werden. Dies umfasst regelmäßige Kontrollen zur Überprüfung der Einhaltung dokumentierter gesetzlicher und vertraglicher Anforderungen, anlassbezogene Überprüfungen bei Änderungen des regulatorischen Umfelds, bei Hinweisen auf mögliche Verstöße oder nach durchgeführten Änderungen in relevanten Systemen oder Prozessen, die Identifikation von Compliance-Lücken und deren systematische Dokumentation sowie die Entwicklung und Umsetzung von Maßnahmen zur Schließung identifizierter Compliance-Lücken."}],"props":[{"name":"alt-identifier","value":"9bb16672-4394-4ce9-bd14-12a080233f7a"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv","name":"sec_level","value":"normal-SdT"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv","name":"effort_level","value":"2"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv","name":"tags","value":"Compliance-Management"}],"title":"Überwachung der Einhaltung von Verpflichtungen","params":[{"id":"perf.2.1-prm1","label":"regelmäßig","props":[{"name":"alt-identifier","value":"9bb16672-4394-4ce9-bd14-12a080233f7a"}]}]}]},{"id":"PERF.3","props":[{"name":"label","value":"3"},{"name":"alt-identifier","value":"fcc79624-9fa4-4e70-9ad8-89af7dfdc777"}],"title":"Auditprogramm und -durchführung","controls":[{"id":"PERF.3.1","class":"BSI-Methodik-Grundschutz-plus-plus","parts":[{"id":"PERF.3.1_stm","name":"statement","props":[{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv","name":"result","value":"ein Verfahren zum Aufbau und zur Pflege eines oder mehrerer Auditprogramme"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv","name":"action_word","value":"verankern"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv","name":"modal_verb","value":"MUSS"}],"prose":"Monitoring-Evaluation MUSS ein Verfahren zum Aufbau und zur Pflege eines oder mehrerer Auditprogramme verankern."},{"id":"PERF.3.1_gdn","name":"guidance","prose":"Ein Audit kann in unterschiedlichen Formen durchgeführt werden – beispielsweise als internes Audit durch eigene Mitarbeitende, als externes Audit durch unabhängige Dritte (z. B. für Zertifizierungen), als Überwachungs- oder Wiederholungsaudit, oder als Sonderaudit bei Sicherheitsvorfällen. Ziel ist es, die Einhaltung von Sicherheitsanforderungen, die Wirksamkeit von Maßnahmen sowie mögliche Schwachstellen zu prüfen."}],"props":[{"name":"alt-identifier","value":"26cebd96-ae1b-46e8-9d1c-95f969b769dc"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv","name":"sec_level","value":"normal-SdT"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv","name":"effort_level","value":"0"}],"title":"Aufbau und Pflege eines Auditprogramms","controls":[{"id":"PERF.3.1.1","class":"BSI-Methodik-Grundschutz-plus-plus","parts":[{"id":"PERF.3.1.1_stm","name":"statement","props":[{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv","name":"result","value":"für jedes durchzuführende Audit einen Auditplan"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv","name":"action_word","value":"festlegen"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv","name":"modal_verb","value":"SOLLTE"}],"prose":"Monitoring-Evaluation SOLLTE für jedes durchzuführende Audit einen Auditplan festlegen."},{"id":"PERF.3.1.1_gdn","name":"guidance","prose":"Der Auditplan (audit plan) legt vorab die Ziele, den Umfang (Geltungsbereich, Zielobjekte), die Methoden (Auditkriterien), Rollen und Zuständigkeiten, sowie den genauen Ablauf dieser Überprüfung fest. Auditmethoden sind die spezifischen Vorgehensweisen und Techniken, die ein Auditor zur Sammlung und Bewertung von Prüfungsnachweisen (audit evidence) einsetzt. Die Auswahl der Methode hängt vom jeweiligen Prüfziel ab und umfasst häufig eine Kombination aus mehreren Ansätzen, wie zum Beispiel: (1) die Befragung von Mitarbeitern (Interviews), um Prozessabläufe und Verantwortlichkeiten zu verstehen, (2) die (automatisierte und manuelle) Durchsicht von Dokumenten wie Richtlinien, Konzepten und Protokollen zur Überprüfung der Vorgabenkonformität, (3) die direkte Beobachtung von Prozessen, um die tatsächliche Umsetzung einer Kontrolle zu verifizieren, sowie (4) technische Analysen, welche die Überprüfung von Systemkonfigurationen, die Auswertung von Logdateien oder die Durchführung von Stichproben bei Berechtigungen beinhalten können. Der Zweck dieser Anforderung ist es, eine strukturierte und nachvollziehbare Vorgehensweise bei jeder Prüfung zu gewährleisten. Ohne einen solchen Plan könnte eine Überprüfung chaotisch verlaufen, wichtige Bereiche übersehen oder Ressourcen ineffizient eingesetzt werden, was unentdeckte Schwachstellen zur Folge haben kann. Ein detaillierter Auditplan kann hingegen sicherstellen, dass alle relevanten Aspekte systematisch abgedeckt werden und schafft eine klare Erwartungshaltung sowie Verbindlichkeit für die Auditoren und die geprüften Stellen der Institution. Bewährt hat sich dabei eine chancen- und risikenorientierte Ressourcenverteilung, d.h. die Betrachtung genau jener Anforderungen, bei denen voraussichtlich ein hoher Mehrwert für die Risikobetrachtung durch das Audit zu erwarten ist. Für Details siehe ISO/IEC 19011-Reihe. Der Plan muss dokumentiert werden."}],"props":[{"name":"alt-identifier","value":"e81de2b1-c4fd-47b7-86a6-f858db31306e"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv","name":"sec_level","value":"normal-SdT"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv","name":"effort_level","value":"3"}],"title":"Erstellen eines Auditsplans"},{"id":"PERF.3.1.2","class":"BSI-Methodik-Grundschutz-plus-plus","parts":[{"id":"PERF.3.1.2_stm","name":"statement","props":[{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv","name":"result","value":"die Planung der internen Audits im Auditprogramm"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv","name":"result_specification","value":"risikoorientiert"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv","name":"action_word","value":"ausführen"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv","name":"modal_verb","value":"MUSS"}],"prose":"Monitoring-Evaluation MUSS die Planung der internen Audits im Auditprogramm risikoorientiert ausführen."},{"id":"PERF.3.1.2_gdn","name":"guidance","prose":"Ziel ist es, die Einhaltung von Sicherheitsanforderungen, die Wirksamkeit von Maßnahmen sowie mögliche Schwachstellen zu prüfen. Dabei wird die Effektivität und Effizienz aller angewandten Anforderungen sinnvoll geprüft. Risikoorientiert bedeutet hierbei, dass die Auswahl von Prüfobjekten sowie die Prüftiefe sich nach einer Risikobetrachtung richtet, also besonders risikorelevante Fragen vertieft betrachtet werden. Beispielsweise ist es sinnvoll bei automatisierten Richtlinien (Policies) nicht nur deren tatsächliche Aktivierung, sondern vor allem die erlaubten Ausnahmeregelungen auf Begründung, Befristung und Umfang zu prüfen, damit vermeintliche effektive Maßnahmen nicht durch zu weite Ausnahmeregelungen ausgehölt werden. Die Planung muss dokumentiert werden."}],"props":[{"name":"alt-identifier","value":"6f76ca8f-aadb-44b2-89ce-c35ac8a16d69"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv","name":"sec_level","value":"normal-SdT"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv","name":"effort_level","value":"0"}],"title":"Planen von internen Audits"},{"id":"PERF.3.1.3","class":"BSI-Methodik-Grundschutz-plus-plus","parts":[{"id":"PERF.3.1.3_stm","name":"statement","props":[{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv","name":"result","value":"fachlich geeignete und unabhängige Auditoren"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv","name":"result_specification","value":"zur Gewährleistung der Objektivität und Qualität der Audits"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv","name":"action_word","value":"anweisen"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv","name":"modal_verb","value":"MUSS"}],"prose":"Monitoring-Evaluation MUSS fachlich geeignete und unabhängige Auditoren zur Gewährleistung der Objektivität und Qualität der Audits anweisen."},{"id":"PERF.3.1.3_gdn","name":"guidance","prose":"Bei der Auswahl von Auditoren ist zu empfehlen insbesondere Fachkompetenz, Unabhängigkeit und Erfahrung zu berücksichtigen. Das Team muss über technisches und organisatorisches Wissen, Kenntnisse relevanter Normen und gesetzliche Anforderungen sowie die Fähigkeit zur objektiven, methodischen Bewertung verfügen, ohne in die zu prüfenden Prozesse direkt involviert zu sein."}],"props":[{"name":"alt-identifier","value":"9c848e6f-ba7e-49de-9655-e95c57acafa3"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv","name":"sec_level","value":"normal-SdT"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv","name":"effort_level","value":"0"}],"title":"Auswahl des Auditteams"},{"id":"PERF.3.1.4","class":"BSI-Methodik-Grundschutz-plus-plus","parts":[{"id":"PERF.3.1.4_stm","name":"statement","props":[{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv","name":"result","value":"in angemessenem Umfang Audits"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv","name":"action_word","value":"ausführen"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv","name":"modal_verb","value":"MUSS"}],"prose":"Monitoring-Evaluation MUSS in angemessenem Umfang Audits ausführen."},{"id":"PERF.3.1.4_gdn","name":"guidance","prose":"Der Umfang eines Audits beschreibt, was, wie und in welchem Rahmen geprüft wird. Dazu gehören der organisatorische und technische Geltungsbereich (z. B. Standorte, Abteilungen, IT-Systeme), der Prüfzeitraum,  sowie die eingesetzten Prüfmethoden wie Interviews, Dokumentensichtung oder Systemtests. Der Auditumfang wird vor Beginn des Audits klar definiert, um den Ablauf gezielt zu planen und die Ergebnisse nachvollziehbar zu dokumentieren."}],"props":[{"name":"alt-identifier","value":"dd98f0ad-e27d-44dd-8a44-1fee1657b714"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv","name":"sec_level","value":"normal-SdT"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv","name":"effort_level","value":"0"}],"title":"Umfang von Audits"}]}]},{"id":"PERF.4","props":[{"name":"label","value":"4"},{"name":"alt-identifier","value":"e930a1bb-35b2-4038-9193-34554c2cfa9a"}],"title":"Bewertungsschema und Auditberichte","controls":[{"id":"PERF.4.1","class":"BSI-Methodik-Grundschutz-plus-plus","links":[{"rel":"related","href":"#PERF.3.1"}],"parts":[{"id":"PERF.4.1_stm","name":"statement","props":[{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv","name":"documentation","value":"Auditbericht"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv","name":"result","value":"ein Verfahren zur Erstellung aussagekräftiger Auditberichte"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv","name":"action_word","value":"verankern"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv","name":"modal_verb","value":"MUSS"}],"prose":"Monitoring-Evaluation MUSS ein Verfahren zur Erstellung aussagekräftiger Auditberichte verankern."},{"id":"PERF.4.1_gdn","name":"guidance","prose":"Ein Auditbericht muss nachvollziehbar, vollständig und strukturiert dokumentieren, wie das Audit durchgeführt wurde und welche Ergebnisse erzielt wurden. Er enthält Angaben zum Auditziel, Auditumfang, Auditteam, Auditmethoden, den bewerteten Bereichen sowie eine übersichtliche Darstellung der Feststellungen inklusive Abweichungen, Verbesserungspotenzialen und der Bewertung der Wirksamkeit der umgesetzten Sicherheitsmaßnahmen. Die Auditberichte sollten neben den identifizierten Schwachstellen auch positive  Feststellungen enthalten, um ein ausgewogenes Bild zu vermitteln und Best Practices zu fördern."}],"props":[{"name":"alt-identifier","value":"d173c0e0-9c22-414c-b4c8-633c7a75a406"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv","name":"sec_level","value":"normal-SdT"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv","name":"effort_level","value":"0"}],"title":"Dokumentation von Auditergebnissen","controls":[{"id":"PERF.4.1.1","class":"BSI-Methodik-Grundschutz-plus-plus","links":[{"rel":"related","href":"#PERF.3.1"}],"parts":[{"id":"PERF.4.1.1_stm","name":"statement","props":[{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv","name":"documentation","value":"Auditbericht"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv","name":"result","value":"für Feststellungen in Audits ein einheitliches Bewertungsschema"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv","name":"action_word","value":"festlegen"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv","name":"modal_verb","value":"SOLLTE"}],"prose":"Monitoring-Evaluation SOLLTE für Feststellungen in Audits ein einheitliches Bewertungsschema festlegen."},{"id":"PERF.4.1.1_gdn","name":"guidance","prose":"Das Bewertungsschema soll die einheitliche Bewertung, die Wirksamkeit der Auditprozesse und die Vergleichbarkeit von Auditergebnissen sicherstellen."}],"props":[{"name":"alt-identifier","value":"cbd3ce59-8979-4ae0-a6ee-f0779d9a2598"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv","name":"sec_level","value":"normal-SdT"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv","name":"effort_level","value":"3"}],"title":"Einheitliches Bewertungsschema"},{"id":"PERF.4.1.2","class":"BSI-Methodik-Grundschutz-plus-plus","links":[{"rel":"related","href":"#PERF.3.1"}],"parts":[{"id":"PERF.4.1.2_stm","name":"statement","props":[{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv","name":"documentation","value":"Auditbericht"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv","name":"result","value":"eine angemessene Kommunikation an alle relevanten Stakeholder"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv","name":"action_word","value":"ausführen"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv","name":"modal_verb","value":"MUSS"}],"prose":"Monitoring-Evaluation MUSS eine angemessene Kommunikation an alle relevanten Stakeholder ausführen."},{"id":"PERF.4.1.2_gdn","name":"guidance","prose":"Eine angemessene Kommunikation der Auditergebnisse an alle relevanten Stakeholder muss sichergestellt werden, um das Bewusstsein für identifizierte Risiken zu schärfen und die Umsetzung von Verbesserungsmaßnahmen zu fördern."}],"props":[{"name":"alt-identifier","value":"3f9935bd-65fa-4212-a7e7-726f39933c7d"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv","name":"sec_level","value":"normal-SdT"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv","name":"effort_level","value":"0"}],"title":"Kommunikation an Stakeholder"}]}]},{"id":"PERF.5","props":[{"name":"label","value":"5"},{"name":"alt-identifier","value":"b285951e-ef2e-4a4c-987b-a68d08c5ca46"}],"title":"Managementbewertungen","controls":[{"id":"PERF.5.1","class":"BSI-Methodik-Grundschutz-plus-plus","parts":[{"id":"PERF.5.1_stm","name":"statement","props":[{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv","name":"documentation","value":"Managementbericht"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv","name":"result","value":"das ISMS der Institution hinsichtlich Eignung, Angemessenheit und Wirksamkeit"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv","name":"result_specification","value":"{{regelmäßig}} sowie anlassbezogen"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv","name":"action_word","value":"überprüfen"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv","name":"modal_verb","value":"MUSS"}],"prose":"Monitoring-Evaluation MUSS das ISMS der Institution hinsichtlich Eignung, Angemessenheit und Wirksamkeit {{ insert: param, perf.5.1-prm1 }} sowie anlassbezogen überprüfen."},{"id":"PERF.5.1_gdn","name":"guidance","prose":"Damit die Institutionsleitung fundierte Entscheidungen zur Steuerung des Informationssicherheitsprozesses treffen kann, ist ein prägnanter Managementbericht erforderlich. Darin werden die wesentlichen Eckpunkte zum Stand der Informationssicherheit übersichtlich aufbereitet. Der Bericht SOLL: kurz, klar und verständlich sein, relevante Informationen bzw. Entwicklungen enthalten, nicht überfrachtet sein d.h. den Fokus auf das Wesentliche legen. So kann die Leitung gezielt Maßnahmen priorisieren und Ressourcen effektiv einsetzen. Es muss unter anderem deutlich werden, ob der beabsichtigte Sicherheitszweck wirksam erfüllt wird."}],"props":[{"name":"alt-identifier","value":"f9cf8bd8-9a68-4294-9e33-ab7b4f28c68c"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv","name":"sec_level","value":"normal-SdT"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv","name":"effort_level","value":"0"}],"title":"Eignungsprüfung","params":[{"id":"perf.5.1-prm1","label":"regelmäßig","props":[{"name":"alt-identifier","value":"f9cf8bd8-9a68-4294-9e33-ab7b4f28c68c"}]}],"controls":[{"id":"PERF.5.1.1","class":"BSI-Methodik-Grundschutz-plus-plus","parts":[{"id":"PERF.5.1.1_stm","name":"statement","props":[{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv","name":"documentation","value":"Managementbericht"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv","name":"result","value":"die Ergebnisse dieser Überprüfungen in einem Managementbericht,"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv","name":"result_specification","value":"der den Status von Folgemaßnahmen vorangegangener Managementbewertungen enthält,"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv","name":"action_word","value":"dokumentieren"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv","name":"modal_verb","value":"SOLLTE"}],"prose":"Monitoring-Evaluation SOLLTE die Ergebnisse dieser Überprüfungen in einem Managementbericht, der den Status von Folgemaßnahmen vorangegangener Managementbewertungen enthält, dokumentieren."},{"id":"PERF.5.1.1_gdn","name":"guidance","prose":"Die Evaluierung von Folgemaßnahmen früherer Managementbewertungen dient der Prüfung, ob geplante Maßnahmen umgesetzt und ihre Ziele erreicht wurden. Dabei müssen Status, Wirksamkeit und mögliche Abweichungen nachvollziehbar dokumentiert und in die aktuelle Managementbewertung eingebunden werden. Die Ergebnisse dieser Überprüfungen basieren auf den vorab erstellten Auditberichten sowie der geforderten Eignungsprüfung."}],"props":[{"name":"alt-identifier","value":"917cda33-b472-4526-bdee-db022ffa506c"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv","name":"sec_level","value":"normal-SdT"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv","name":"effort_level","value":"1"}],"title":"Ergebnisse von Folgemaßnahmen"},{"id":"PERF.5.1.2","class":"BSI-Methodik-Grundschutz-plus-plus","parts":[{"id":"PERF.5.1.2_stm","name":"statement","props":[{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv","name":"documentation","value":"Managementbericht"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv","name":"result","value":"die Ergebnisse dieser Überprüfungen in einem Managementbericht,"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv","name":"result_specification","value":"der geänderte Rahmenbedingungen mit Auswirkungen auf das Informationssicherheitsmanagement berücksichtigt,"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv","name":"action_word","value":"dokumentieren"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv","name":"modal_verb","value":"SOLLTE"}],"prose":"Monitoring-Evaluation SOLLTE die Ergebnisse dieser Überprüfungen in einem Managementbericht, der geänderte Rahmenbedingungen mit Auswirkungen auf das Informationssicherheitsmanagement berücksichtigt, dokumentieren."},{"id":"PERF.5.1.2_gdn","name":"guidance","prose":"Die Ergebnisse der Überprüfung der Rahmenbedingungen – wie rechtliche, organisatorische, technische oder wirtschaftliche Veränderungen – müssen systematisch erfasst und auf ihre Auswirkungen auf das ISMS bewertet werden. Relevante Änderungen sind in der Managementbewertung einzubeziehen, da sie Einfluss auf die Risikobetrachtung und erforderliche Anforderungen bzw. Sicherheitsmaßnahmen haben können. Die Ergebnisse dieser Überprüfungen basieren auf den vorab erstellten Auditberichten sowie der geforderten Eignungsprüfung."}],"props":[{"name":"alt-identifier","value":"a45c5319-e786-4c30-868e-84416d2f0fe4"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv","name":"sec_level","value":"normal-SdT"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv","name":"effort_level","value":"1"}],"title":"Geänderte Rahmenbedingungen"},{"id":"PERF.5.1.3","class":"BSI-Methodik-Grundschutz-plus-plus","parts":[{"id":"PERF.5.1.3_stm","name":"statement","props":[{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv","name":"documentation","value":"Managementbericht"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv","name":"result","value":"die Ergebnisse dieser Überprüfungen in einem Managementbericht,"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv","name":"result_specification","value":"der bisherige Erfolge und Probleme (z. B. Sicherheitsvorfälle) beim Informationssicherheitsprozess berücksichtigt,"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv","name":"action_word","value":"dokumentieren"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv","name":"modal_verb","value":"SOLLTE"}],"prose":"Monitoring-Evaluation SOLLTE die Ergebnisse dieser Überprüfungen in einem Managementbericht, der bisherige Erfolge und Probleme (z. B. Sicherheitsvorfälle) beim Informationssicherheitsprozess berücksichtigt, dokumentieren."},{"id":"PERF.5.1.3_gdn","name":"guidance","prose":"Die Ergebnisse müssen im ISMS-Prozess berücksichtigt werden, um daraus gezielte Verbesserungen abzuleiten. Sie dienen als wichtige Eingaben für die Managementbewertung und unterstützen die Weiterentwicklung der Sicherheitsstrategie. Zu Erfolgen zählen z. B. wirksam umgesetzte Maßnahmen, erreichte Sicherheitsziele, erfolgreiche Audits/Prüfungen oder eine nachweisbare Reduktion von Risiken. Die Ergebnisse dieser Überprüfungen basieren auf den vorab erstellten Auditberichten sowie der geforderten Eignungsprüfung."}],"props":[{"name":"alt-identifier","value":"3111f074-e762-4bf0-b0b4-3d548e27cef5"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv","name":"sec_level","value":"normal-SdT"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv","name":"effort_level","value":"1"}],"title":"Erfolge und Probleme"},{"id":"PERF.5.1.4","class":"BSI-Methodik-Grundschutz-plus-plus","parts":[{"id":"PERF.5.1.4_stm","name":"statement","props":[{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv","name":"documentation","value":"Managementbericht"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv","name":"result","value":"die Ergebnisse dieser Überprüfungen in einem Managementbericht,"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv","name":"result_specification","value":"der Ergebnisse interner Überprüfungen und Audits enthält,"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv","name":"action_word","value":"dokumentieren"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv","name":"modal_verb","value":"SOLLTE"}],"prose":"Monitoring-Evaluation SOLLTE die Ergebnisse dieser Überprüfungen in einem Managementbericht, der Ergebnisse interner Überprüfungen und Audits enthält, dokumentieren."},{"id":"PERF.5.1.4_gdn","name":"guidance","prose":"Bei der Evaluierung müssen die Ergebnisse interner Überprüfungen und Audits dokumentiert werden, um festzustellen, ob das ISMS wirksam umgesetzt und aufrechterhalten wird. Dabei sind insbesondere identifizierte Abweichungen, Verbesserungspotenziale und umgesetzte Korrekturmaßnahmen nachvollziehbar darzustellen. Die Ergebnisse dieser Überprüfungen basieren auf den vorab erstellten Auditberichten sowie der geforderten Eignungsprüfung."}],"props":[{"name":"alt-identifier","value":"15f611e0-cd25-4dec-b757-9d46e5c6b0e6"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv","name":"sec_level","value":"normal-SdT"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv","name":"effort_level","value":"1"}],"title":"Interne Überprüfungen und Audits"},{"id":"PERF.5.1.5","class":"BSI-Methodik-Grundschutz-plus-plus","parts":[{"id":"PERF.5.1.5_stm","name":"statement","props":[{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv","name":"documentation","value":"Managementbericht"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv","name":"result","value":"die Ergebnisse dieser Überprüfungen in einem Managementbericht,"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv","name":"result_specification","value":"der eine Bewertung enthält, ob sich die Sicherheitsmaßnahmen zur Erreichung der Sicherheitsziele als geeignet erwiesen haben oder ob Maßnahmen geändert oder ergänzt werden müssen,"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv","name":"action_word","value":"dokumentieren"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv","name":"modal_verb","value":"SOLLTE"}],"prose":"Monitoring-Evaluation SOLLTE die Ergebnisse dieser Überprüfungen in einem Managementbericht, der eine Bewertung enthält, ob sich die Sicherheitsmaßnahmen zur Erreichung der Sicherheitsziele als geeignet erwiesen haben oder ob Maßnahmen geändert oder ergänzt werden müssen, dokumentieren."},{"id":"PERF.5.1.5_gdn","name":"guidance","prose":"Zur Bewertung, ob Sicherheitsmaßnahmen zur Erreichung der Sicherheitsziele geeignet sind, müssen die Maßnahmen systematisch den jeweiligen Zielen zugeordnet und ihre Wirksamkeit anhand konkreter Nachweise (z. B. Auditergebnisse, Vorfallanalysen, Tests) überprüft werden. Werden Defizite festgestellt, sind die Maßnahmen entsprechend anzupassen, zu ergänzen oder durch geeignetere zu ersetzen. Die Ergebnisse dieser Überprüfung sind nachvollziehbar zu dokumentieren und in den Managementbericht einzubringen und basieren auf den vorab erstellten Auditberichten sowie der geforderten Eignungsprüfung."}],"props":[{"name":"alt-identifier","value":"85b88ff7-5d53-43cc-b824-2b55d6635386"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv","name":"sec_level","value":"normal-SdT"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv","name":"effort_level","value":"1"}],"title":"Eignungsprüfung bisheriger Sicherheitsmaßnahmen"},{"id":"PERF.5.1.6","class":"BSI-Methodik-Grundschutz-plus-plus","parts":[{"id":"PERF.5.1.6_stm","name":"statement","props":[{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv","name":"documentation","value":"Managementbericht"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv","name":"result","value":"die Ergebnisse dieser Überprüfungen in einem Managementbericht,"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv","name":"result_specification","value":"der Rückmeldungen von Kunden, Geschäftspartnern, Mitarbeitern oder der Öffentlichkeit zu Sicherheitsaspekten  bei der Bewertung berücksichtigt,"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv","name":"action_word","value":"dokumentieren"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv","name":"modal_verb","value":"SOLLTE"}],"prose":"Monitoring-Evaluation SOLLTE die Ergebnisse dieser Überprüfungen in einem Managementbericht, der Rückmeldungen von Kunden, Geschäftspartnern, Mitarbeitern oder der Öffentlichkeit zu Sicherheitsaspekten  bei der Bewertung berücksichtigt, dokumentieren."},{"id":"PERF.5.1.6_gdn","name":"guidance","prose":"Betroffene Personen wie z. B. Kunden, Geschäftspartner und die Öffentlichkeit sollen aktiv zu Sicherheitsaspekten befragt oder deren Feedback systematisch erfasst werden, z. B. über Umfragen, Beschwerden, Supportanfragen oder öffentliche Bewertungen. Dieses Feedback ist auf Relevanz und Auswirkungen für das ISMS zu prüfen, zu dokumentieren und bei Bedarf in Risikobetrachtungen und Verbesserungsmaßnahmen einzubeziehen. Verantwortliche müssen sicherstellen, dass Rückmeldungen zeitnah ausgewertet und bei der Weiterentwicklung der Sicherheitsmaßnahmen berücksichtigt werden. Die Ergebnisse dieser Überprüfungen basieren auf den vorab erstellten Auditberichten sowie der geforderten Eignungsprüfung."}],"props":[{"name":"alt-identifier","value":"65fd515e-d390-49f5-87b4-68aaaf392e9f"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv","name":"sec_level","value":"normal-SdT"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv","name":"effort_level","value":"1"}],"title":"Rückmeldung von Stakeholdern"},{"id":"PERF.5.1.7","class":"BSI-Methodik-Grundschutz-plus-plus","parts":[{"id":"PERF.5.1.7_stm","name":"statement","props":[{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv","name":"documentation","value":"Managementbericht"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv","name":"result","value":"die Ergebnisse dieser Überprüfungen in einem Managementbericht,"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv","name":"result_specification","value":"der Berichte über die Reduzierung bestehender Umsetzungsdefizite und der damit verbundenen Risiken (Status des Realisierungsplans)"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv","name":"action_word","value":"dokumentieren"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv","name":"modal_verb","value":"SOLLTE"}],"prose":"Monitoring-Evaluation SOLLTE die Ergebnisse dieser Überprüfungen in einem Managementbericht, der Berichte über die Reduzierung bestehender Umsetzungsdefizite und der damit verbundenen Risiken (Status des Realisierungsplans) dokumentieren."},{"id":"PERF.5.1.7_gdn","name":"guidance","prose":"Die Überprüfung von Umsetzungsdefiziten und Risiken ist im ISMS ein zentraler Bestandteil des Monitorings und der Evaluierung. Monitoring sorgt für die kontinuierliche Beobachtung des Fortschritts bei Maßnahmenumsetzung, während die Evaluierung die Wirksamkeit dieser Maßnahmen bewertet und bei Bedarf Anpassungen empfiehlt. So wird sichergestellt, dass Risiken nachhaltig reduziert und Sicherheitsziele erreicht werden. D. h. der Status des Realisierungsplans muss fortlaufend überprüft werden. Die Ergebnisse dieser Überprüfungen basieren auf den vorab erstellten Auditberichten sowie der geforderten Eignungsprüfung."}],"props":[{"name":"alt-identifier","value":"d24f550c-1502-4587-899b-5e7594363419"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv","name":"sec_level","value":"normal-SdT"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv","name":"effort_level","value":"1"}],"title":"Status des Realisierungsplans"},{"id":"PERF.5.1.8","class":"BSI-Methodik-Grundschutz-plus-plus","parts":[{"id":"PERF.5.1.8_stm","name":"statement","props":[{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv","name":"documentation","value":"Managementbericht"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv","name":"result","value":"die Ergebnisse dieser Überprüfungen in einem Managementbericht,"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv","name":"result_specification","value":"der die Ergebnisse der Bewertung in Form von Verbesserungen in das ISMS einfließen lässt,"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv","name":"action_word","value":"dokumentieren"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv","name":"modal_verb","value":"SOLLTE"}],"prose":"Monitoring-Evaluation SOLLTE die Ergebnisse dieser Überprüfungen in einem Managementbericht, der die Ergebnisse der Bewertung in Form von Verbesserungen in das ISMS einfließen lässt, dokumentieren."},{"id":"PERF.5.1.8_gdn","name":"guidance","prose":"Hier ist zu dokumentieren, 1. ob identifizierte Verbesserungsmaßnahmen tatsächlich umgesetzt wurden (z.B. Änderungen an Prozessen, technische Anpassungen, Schulungen). 2. in welcher Form diese Maßnahmen ins ISMS eingeflossen sind, also ob sie dokumentiert, in der Risikobetrachtung berücksichtigt und in den Steuerungsprozessen verankert wurden. 3. ob die Verbesserungen die angestrebte Wirkung zeigen, also zur Reduzierung von Risiken oder zur Erreichung der Sicherheitsziele beitragen. 4. ob die Maßnahmen dauerhaft aufrechterhalten und kontinuierlich überwacht werden, um nachhaltige Verbesserungen sicherzustellen. Die Ergebnisse dieser Evaluierung sind nachvollziehbar zu dokumentieren und bilden die Grundlage für weitere Entscheidungen im Rahmen des kontinuierlichen Verbesserungsprozesses und basieren auf den vorab erstellten Auditberichten sowie der geforderten Eignungsprüfung."}],"props":[{"name":"alt-identifier","value":"f591a6d1-19bc-4b0d-8d4d-48f9afa67e40"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv","name":"sec_level","value":"normal-SdT"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv","name":"effort_level","value":"1"}],"title":"Verbesserungen"},{"id":"PERF.5.1.9","class":"BSI-Methodik-Grundschutz-plus-plus","parts":[{"id":"PERF.5.1.9_stm","name":"statement","props":[{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv","name":"documentation","value":"Managementbericht"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv","name":"result","value":"die Ergebnisse dieser Überprüfungen in einem Managementbericht,"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv","name":"result_specification","value":"der priorisierte Maßnahmenvorschläge mit realistischen Abschätzungen zum erwarteten Umsetzungsaufwand enthält,"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv","name":"action_word","value":"dokumentieren"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv","name":"modal_verb","value":"MUSS"}],"prose":"Monitoring-Evaluation MUSS die Ergebnisse dieser Überprüfungen in einem Managementbericht, der priorisierte Maßnahmenvorschläge mit realistischen Abschätzungen zum erwarteten Umsetzungsaufwand enthält, dokumentieren."},{"id":"PERF.5.1.9_gdn","name":"guidance","prose":"Maßnahmenvorschläge müssen daraufhin überprüft werden, ob sie wirksam zur Risikoreduktion beitragen und mit vertretbarem Aufwand umsetzbar sind. Dabei sind Nutzen, Kosten, technischer und organisatorischer Aufwand realistisch abzuschätzen und in Relation zueinander zu bewerten, um fundierte Entscheidungen zur Umsetzung und Priorisierung treffen zu können. Die Ergebnisse dieser Überprüfungen basieren auf den vorab erstellten Auditberichten sowie der geforderten Eignungsprüfung."}],"props":[{"name":"alt-identifier","value":"c6ecb13d-2c6a-495d-89fd-8d9e699b3ff9"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv","name":"sec_level","value":"normal-SdT"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv","name":"effort_level","value":"0"}],"title":"Maßnahmenvorschläge"}]},{"id":"PERF.5.2","class":"BSI-Methodik-Grundschutz-plus-plus","links":[{"rel":"required","href":"#PERF.5.1"}],"parts":[{"id":"PERF.5.2_stm","name":"statement","props":[{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv","name":"result","value":"die Institutionsleitung über den Stand des Managementsystems"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv","name":"result_specification","value":"{{regelmäßig}} anhand des Managementberichtes"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv","name":"action_word","value":"informieren"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv","name":"modal_verb","value":"MUSS"}],"prose":"Monitoring-Evaluation MUSS die Institutionsleitung über den Stand des Managementsystems {{ insert: param, perf.5.2-prm1 }} anhand des Managementberichtes informieren."},{"id":"PERF.5.2_gdn","name":"guidance","prose":"Sinn und Zweck der Anforderung liegt darin, die Leitungsebene regelmäßig und nachvollziehbar über den Sicherheitsstatus sowie über wesentliche Entwicklungen zu informieren. Damit kann die Leitung faktenbasiert Entscheidungen treffen, Prioritäten setzen und Ressourcen zielgerichtet bereitstellen. Ohne einen solchen Bericht könnte ein kritisches Risiko unbemerkt bleiben oder verspätet adressiert werden, etwa wenn wiederholt unbefugte Zugriffe auf sensible Daten auftreten. Ein gut aufbereiteter Bericht kann hingegen Transparenz schaffen, Verantwortlichkeiten verdeutlichen und Vertrauen in die Steuerung der Institution fördern. Zur Umsetzung ist ein fester Rhythmus für die Erstellung des Managementberichts zu etablieren, etwa quartalsweise oder anlassbezogen nach einem schweren Vorfall. Der Bericht kann eine verdichtete Darstellung enthalten, zum Beispiel in Form von übersichtlichen Kennzahlen (Anzahl relevanter Vorfälle, Zeit bis zur Entdeckung, Erfüllungsgrad definierter Sicherheitsmaßnahmen) und Trendanalysen. Ergänzend kann eine einheitliche Vorlage genutzt werden, die eine klare Struktur vorgibt, sodass die Leitungsebene schnell die entscheidenden Punkte erkennt. Technisch kann dies durch den Einsatz gängiger Office-Tools unterstützt werden, etwa durch die Visualisierung von Trends in Diagrammen. Prozessual können Rückfragen und Diskussionen in einer kurzen Managementrunde eingeplant werden, um den reinen Informationsfluss zu einem aktiven Austausch zu machen."}],"props":[{"name":"alt-identifier","value":"5d8dccb2-5fea-43c1-a804-0b49f481a1ca"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv","name":"sec_level","value":"normal-SdT"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv","name":"effort_level","value":"0"}],"title":"Bericht an die Institutionsleitung","params":[{"id":"perf.5.2-prm1","label":"regelmäßig","props":[{"name":"alt-identifier","value":"5d8dccb2-5fea-43c1-a804-0b49f481a1ca"}]}]}]},{"id":"PERF.6","props":[{"name":"label","value":"6"},{"name":"alt-identifier","value":"5d92a4e2-7171-41cf-b39b-5b272e9e7f24"}],"title":"Monitoringmethoden und -tools","controls":[{"id":"PERF.6.1","class":"BSI-Methodik-Grundschutz-plus-plus","parts":[{"id":"PERF.6.1_stm","name":"statement","props":[{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv","name":"result","value":"effektive Monitoring-Methoden und -tools"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv","name":"result_specification","value":"zur {{regelmäßigen}} Überwachung der Informationssicherheit"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv","name":"action_word","value":"verankern"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv","name":"modal_verb","value":"MUSS"}],"prose":"Monitoring-Evaluation MUSS effektive Monitoring-Methoden und -tools zur {{ insert: param, perf.6.1-prm1 }} Überwachung der Informationssicherheit verankern."},{"id":"PERF.6.1_gdn","name":"guidance","prose":"Die Implementierung von  Monitoring-Methoden und -tools sollte an die individuellen Bedürfnisse und Möglichkeiten der Institution angepasst sein. Während kleinere Institutionen mit einfacheren Lösungen arbeiten können, benötigen größere und komplexere Umgebungen oft umfassendere und stärker automatisierte Ansätze. Die gewonnenen Monitoring-Daten sollten systematisch ausgewertet und für verschiedene Zwecke genutzt werden, darunter die Erstellung von Kennzahlen und Berichten, die Früherkennung von Sicherheitsrisiken, die Unterstützung der Incident Response und die kontinuierliche Verbesserung des ISMS. Beispielhafte Tools für die Überwachung von Informationssicherheit sind Security Information and Event Management (SIEM) Systeme für die zentrale Sammlung, Korrelation und Analyse von Sicherheitsereignissen aus verschiedenen Quellen;  Intrusion Detection/Prevention Systeme (IDS/IPS) zur Erkennung und Abwehr verdächtiger Netzwerkaktivitäten;  Vulnerability Management Systeme zur systematischen Identifikation und Behandlung von Schwachstellen sowie Configuration Monitoring Tools zur Überwachung von Konfigurationsänderungen in Systemen und Anwendungen."}],"props":[{"name":"alt-identifier","value":"17e221bd-3b74-453a-ad4e-e2cb346b6af5"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv","name":"sec_level","value":"normal-SdT"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv","name":"effort_level","value":"0"}],"title":"Sicherheitsvorfälle","params":[{"id":"perf.6.1-prm1","label":"regelmäßigen","props":[{"name":"alt-identifier","value":"17e221bd-3b74-453a-ad4e-e2cb346b6af5"}]}],"controls":[{"id":"PERF.6.1.1","class":"BSI-Methodik-Grundschutz-plus-plus","parts":[{"id":"PERF.6.1.1_stm","name":"statement","props":[{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv","name":"result","value":"Sicherheitsvorfälle"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv","name":"action_word","value":"überwachen"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv","name":"modal_verb","value":"MUSS"}],"prose":"Monitoring-Evaluation MUSS Sicherheitsvorfälle überwachen."},{"id":"PERF.6.1.1_gdn","name":"guidance","prose":"Die frühzeitige Identifikation und Meldung von Vorfällen muss ermöglicht werden. Dies kann von manuellen Prozessen bis hin zu automatisierten Erkennungssystemen reichen. Es sollen klare Meldewege, technische Überwachungsmechanismen (z. B. Log-Analyse, Intrusion Detection), Verantwortlichkeiten sowie Kriterien zur Klassifikation von Vorfällen vorliegen. So wird gewährleistet, dass sicherheitsrelevante Ereignisse frühzeitig erkannt, bewertet und in den ISMS-Verbesserungsprozess eingebunden werden."}],"props":[{"name":"alt-identifier","value":"3c76f9bf-7a52-4ba4-a9dd-f351e543ca9f"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv","name":"sec_level","value":"normal-SdT"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv","name":"effort_level","value":"0"}],"title":"Sicherheitsvorfälle"},{"id":"PERF.6.1.2","class":"BSI-Methodik-Grundschutz-plus-plus","parts":[{"id":"PERF.6.1.2_stm","name":"statement","props":[{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv","name":"result","value":"einen Umgang mit Schwachstellen"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv","name":"action_word","value":"festlegen"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv","name":"modal_verb","value":"MUSS"}],"prose":"Monitoring-Evaluation MUSS einen Umgang mit Schwachstellen festlegen."},{"id":"PERF.6.1.2_gdn","name":"guidance","prose":"Dies sollte die systematische Identifikation, Bewertung, Behandlung und Nachverfolgung von Schwachstellen umfassen. Schwachstellen müssen systematisch erfasst, auf ihre sicherheitsrelevante Bedeutung geprüft und in die Risikobetrachtung des ISMS übernommen werden. Daraus abgeleitete Maßnahmen sind zu priorisieren, umzusetzen und im Rahmen des Monitorings und der Evaluierung regelmäßig auf ihre Wirksamkeit hin zu überprüfen sowie zu dokumentieren. Die gewonnenen Monitoring-Daten sollten systematisch ausgewertet und für verschiedene Zwecke genutzt werden, darunter die Erstellung von Kennzahlen und Berichten, die Früherkennung von Sicherheitsrisiken, die Unterstützung der Incident Response und die kontinuierliche Verbesserung des ISMS."}],"props":[{"name":"alt-identifier","value":"4f185314-4f6f-4539-b14e-d230c84ecd4d"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv","name":"sec_level","value":"normal-SdT"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv","name":"effort_level","value":"0"}],"title":"Schwachstellen"},{"id":"PERF.6.1.3","class":"BSI-Methodik-Grundschutz-plus-plus","parts":[{"id":"PERF.6.1.3_stm","name":"statement","props":[{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv","name":"result","value":"einen Umgang zur Erkennung und Reaktion auf neu auftretende Bedrohungen"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv","name":"action_word","value":"festlegen"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv","name":"modal_verb","value":"MUSS"}],"prose":"Monitoring-Evaluation MUSS einen Umgang zur Erkennung und Reaktion auf neu auftretende Bedrohungen festlegen."},{"id":"PERF.6.1.3_gdn","name":"guidance","prose":"Ein Verfahren zur Erfassung und Reaktion neu auftretende Bedrohungen stellt sicher, dass diese mit Beschreibung und Bewertung dokumentiert werden; dass die Risikobetrachtung bei Bedarf aktualisiert wird; eine Neubestimmung von Eintrittswahrscheinlichkeit und Schadensausmaß erfolgt; dass geeignete Gegenmaßnahmen abgeleitet werden; die Risiken priorisiert und mit klaren Verantwortlichkeiten versehen werden; dass die neuen Risiken in bestehende Risikobetrachtungsprozesse integriert werden und dass das Management regelmäßig über die aktuelle Risikolage und die Wirksamkeit der umgesetzten Maßnahmen unterrichtet wird."}],"props":[{"name":"alt-identifier","value":"4599c41b-8c08-46cc-a88d-3a2ab141994c"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv","name":"sec_level","value":"normal-SdT"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv","name":"effort_level","value":"0"}],"title":"Bedrohungen"}]}]},{"id":"PERF.7","props":[{"name":"label","value":"7"},{"name":"alt-identifier","value":"b47fdba9-8ca5-49e3-9d96-d44627477a6d"}],"title":"Validierung der Anforderungen","controls":[{"id":"PERF.7.1","class":"BSI-Methodik-Grundschutz-plus-plus","parts":[{"id":"PERF.7.1_stm","name":"statement","props":[{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv","name":"result","value":"die Aktualität der Anforderungen"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv","name":"result_specification","value":"{{regelmäßig}}"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv","name":"action_word","value":"überprüfen"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv","name":"modal_verb","value":"MUSS"}],"prose":"Monitoring-Evaluation MUSS die Aktualität der Anforderungen {{ insert: param, perf.7.1-prm1 }} überprüfen."},{"id":"PERF.7.1_gdn","name":"guidance","prose":"Die Verifikation sollte folgende Aspekte umfassen: Das Anforderungspaket sollte regelmäßig (i.A. jährlich, je nach Organisationsgröße, Parameter und Prüftiefe) in Hinblick auf die Modellierung überprüft werden, um ihre Aktualität und Angemessenheit in Bezug auf den Informationsverbund zu bewerten. Bei der Überprüfung sollten veränderte Geschäftsprozesse, neue IT-Komponenten, organisatorische Änderungen und externe Faktoren wie neue regulatorische Anforderungen oder veränderte Bedrohungslandschaften berücksichtigt werden. Die Überprüfung sollte in Abstimmung mit den zuständigen Bereichen erfolgen, um sicherzustellen, dass alle relevanten Perspektiven einbezogen werden. Bei Bedarf sollten Anpassungen der Auswahl der Anforderungen vorgenommen werden, um den aktuellen Anforderungen gerecht zu werden. Wenn signifikante Anpassungen erforderlich sind, können diese zu einer Neumodellierung oder Erweiterung des Anforderungspakets führen, was wiederum den gesamten Zyklus der Strukturmodellierung und Umsetzung beeinflusst. Die Verifikation sollte dokumentiert werden."}],"props":[{"name":"alt-identifier","value":"1d6e2d9d-a9b9-46cb-9079-a2587c90c661"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv","name":"sec_level","value":"normal-SdT"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv","name":"effort_level","value":"0"}],"title":"Aktualität der Anforderungen","params":[{"id":"perf.7.1-prm1","label":"regelmäßig","props":[{"name":"alt-identifier","value":"1d6e2d9d-a9b9-46cb-9079-a2587c90c661"}]}]}]}]}]}}