{"catalog":{"uuid":"f7e8a3b2-4c1d-4e2f-9a8b-7c6d5e4f3a2b","metadata":{"props":[{"name":"publisher","value":"The Hacker Hat Studio"},{"name":"role","value":"catalog"},{"name":"scope","value":"Grundschutz++ zu BSI IT-Grundschutz Standard 200-2 für Erstzertifizierungsaudit Kiel"},{"name":"audit-context","value":"Erstzertifizierungsaudit nach Grundschutz++ auf Basis ISO 27001"},{"name":"location","value":"Kiel"},{"name":"audit-type","value":"Zertifizierungsaudit"},{"name":"standard-reference","value":"BSI-Standard 200-2, ISO/IEC 27001:2022"}],"title":"Mapping Grundschutz++ Stufenmodell zu BSI IT-Grundschutz Standard- und Basis-Absicherung für Erstzertifizierungsaudit Kiel","version":"1.0.0","description":"Detailliertes Mapping zwischen dem 5/6-Stufen-Modell von Grundschutz++ und den entsprechenden Teilen der Standard-Absicherung (BSI-Standard 200-2, Kapitel 8) sowie der Basis-Absicherung (Kapitel 6). Berücksichtigt den Kontext eines Erstzertifizierungsaudits in Kiel auf Basis von ISO 27001. Enthält spezifische Audit-Hinweise für die Prüfung vor Ort und Mappings zu ISO 27001 Annex A.","document-ids":[{"scheme":"http://oscal.io/oscal/identifier/content-uuid","identifier":"8b317fd0-a76b-4efd-86eb-0ec578c7ac0b"}],"last-modified":"2026-05-21T12:00:00+02:00","oscal-version":"1.1.0"},"groups":[{"id":"gspp-modell","props":[{"name":"typ","value":"stufenmodell"},{"name":"grundlage","value":"BSI Grundschutz++ Methodik, ISMS Ratgeber, tenmedia, BSI-Standard 200-2, ISO 27001"},{"name":"audit-relevanz","value":"Primär für Erstzertifizierungsaudit Kiel"}],"title":"Grundschutz++ Stufenmodell","groups":[{"id":"gspp-6-stufen","props":[{"name":"quelle","value":"https://wiki.isms-ratgeber.info/wiki/Grundschutz:Einf%C3%BChrung_und_Aufbau"},{"name":"modell-typ","value":"umsetzungsaufwand"},{"name":"iso-27001-bezug","value":"Kompatibel mit ISO 27001 Annex A (A.5–A.18)"}],"title":"6-Stufen-Modell (aufwandbasiert nach ISMS Ratgeber)","controls":[{"id":"gspp-stufe-0","props":[{"name":"umsetzungsaufwand","value":"Sofort"},{"name":"prioritaet","value":"Höchste"},{"name":"modalverb","value":"MUSS"},{"name":"mapping-standard-absicherung","value":"Alle MUSS-Anforderungen in allen Bausteinen und Schichten (ISMS, ORP, CON, OPS, DER, APP, SYS, IND, NET, INF) – BSI-Standard 200-2, Kapitel 8.3 (Modellierung) und 8.4 (IT-Grundschutz-Check)"},{"name":"mapping-basis-absicherung","value":"Alle MUSS-Anforderungen in den Basis-Anforderungen aller relevanten Bausteine – BSI-Standard 200-2, Kapitel 6.2.4 (Ermittlung konkreter Maßnahmen)"},{"name":"mapping-prozessschritt","value":"Initiierung des Sicherheitsprozesses (Kapitel 3.1) – Übernahme der Verantwortung durch die Leitungsebene"},{"name":"sicherheitsniveau","value":"Grundvoraussetzung für alle Sicherheitsniveaus"},{"name":"gspp-praktik","value":"Governance und Compliance (ISMS-Praktik)"},{"name":"iso-27001-mapping","value":"A.5.1 (Richtlinien für die Informationssicherheit), A.5.2 (Informationssicherheitsrollen), A.18.1 (Compliance mit gesetzlichen Anforderungen)"},{"name":"audit-hinweis","value":"Im Erstzertifizierungsaudit Kiel: Prüfen, ob alle MUSS-Anforderungen identifiziert und umgesetzt sind. Besonders relevant für ISO 27001 Zertifizierung (A.5.1, A.5.2, A.18.1). Kritisch für Serverraum und Technikraum in Kiel."},{"name":"zielgruppe","value":"Alle Institutionen"}],"title":"Stufe 0: Zwingende Anforderungen","description":"Zwingend (sofort) umzusetzende Anforderungen (MUSS-Anforderungen). Diese müssen unabhängig von der gewählten Vorgehensweise immer umgesetzt werden."},{"id":"gspp-stufe-1","props":[{"name":"umsetzungsaufwand","value":"~1 Tag"},{"name":"laufender-aufwand","value":"Keiner"},{"name":"prioritaet","value":"Sehr hoch"},{"name":"mapping-standard-absicherung","value":"Basis-Anforderungen in ISMS-Bausteinen (ISMS.1 Sicherheitsmanagement, ISMS.2 Notfallmanagement) und ORP.1 (Organisation und Personal) – BSI-Standard 200-2, Kapitel 8.3.2 (Basis-Anforderungen)"},{"name":"mapping-basis-absicherung","value":"Grundlegende Bausteine der Schichten ISMS und ORP: ISMS.1, ORP.1, ORP.2 – BSI-Standard 200-2, Kapitel 6.2.3 und 6.2.4"},{"name":"mapping-prozessschritt","value":"Basis-Absicherung (Kapitel 6) – Festlegung des Geltungsbereichs (6.1), Auswahl und Priorisierung (6.2)"},{"name":"sicherheitsniveau","value":"Normal (Stand der Technik) – Grundlegende Erst-Absicherung"},{"name":"gspp-praktik","value":"Governance und Compliance, Strukturmodellierung"},{"name":"zielgruppe","value":"Alle Institutionen als Einstiegsniveau"},{"name":"iso-27001-mapping","value":"A.5.1 (Richtlinien), A.6.1 (Informationssicherheitsrollen), A.12.1 (Betriebsverfahren)"},{"name":"audit-hinweis","value":"Im Audit Kiel: Prüfen, ob Quick Wins (z. B. Zugriffskontrollen für Empfangsbereich, Basis-Schulungen) identifiziert und umgesetzt wurden. Relevant für ISO 27001 A.12 (Betriebssicherheit) und A.7 (HR-Sicherheit)."}],"title":"Stufe 1: Quick Wins","description":"Schnell und mit geringem Aufwand (~1 Tag) realisierbare Maßnahmen / keine laufenden Aufwände. Quick Wins ermöglichen einen schnellen Einstieg in die Informationssicherheit."},{"id":"gspp-stufe-2","props":[{"name":"umsetzungsaufwand","value":"~1 Woche"},{"name":"laufender-aufwand","value":"Gering"},{"name":"prioritaet","value":"Hoch"},{"name":"mapping-standard-absicherung","value":"Basis-Anforderungen in CON-Bausteinen (Konzepte und Vorgehensweisen) und OPS-Bausteinen (Betrieb) – BSI-Standard 200-2, Kapitel 8.3.2 und 8.3.3"},{"name":"mapping-basis-absicherung","value":"Erweiterte Basis-Bausteine: CON.1, CON.2, OPS.1, OPS.2 – BSI-Standard 200-2, Kapitel 6.2.3"},{"name":"mapping-prozessschritt","value":"Basis-Absicherung (Kapitel 6) – Modellierung nach IT-Grundschutz (6.2.1), IT-Grundschutz-Check (6.3)"},{"name":"sicherheitsniveau","value":"Normal (Stand der Technik)"},{"name":"gspp-praktik","value":"Strukturmodellierung, Umsetzung"},{"name":"zielgruppe","value":"Kleinunternehmen, Institutionen mit ersten ISMS-Erfahrungen"},{"name":"iso-27001-mapping","value":"A.5.1 (Richtlinien), A.8.1 (Asset-Management), A.12.2 (Änderungsmanagement)"},{"name":"audit-hinweis","value":"Im Audit Kiel: Prüfen, ob CON- und OPS-Bausteine (z. B. Outsourcing, Cloud-Nutzung) umgesetzt sind. Relevant für ISO 27001 A.8 (Asset-Management) und A.12 (Betrieb)."}],"title":"Stufe 2: Leicht umsetzbar","description":"Mit eigenen Mitteln leicht umsetzbare Anforderung (~1 Woche) / geringe laufende Aufwände. Maßnahmen, die mit internen Ressourcen umsetzbar sind."},{"id":"gspp-stufe-3","props":[{"name":"umsetzungsaufwand","value":"Mehrere Wochen"},{"name":"laufender-aufwand","value":"Normal"},{"name":"prioritaet","value":"Mittel"},{"name":"mapping-standard-absicherung","value":"Standard-Anforderungen in allen prozessorientierten Schichten (ISMS, ORP, CON, OPS, DER) – BSI-Standard 200-2, Kapitel 8.3.2 und 8.3.3"},{"name":"mapping-basis-absicherung","value":"Nicht vollständig anwendbar – Basis-Absicherung beschränkt sich auf Basis-Anforderungen. Teilweise Überschneidung mit erweiterten Basis-Bausteinen."},{"name":"mapping-prozessschritt","value":"Standard-Absicherung (Kapitel 8) – Strukturanalyse (8.1), Schutzbedarfsfeststellung (8.2), Modellierung (8.3)"},{"name":"sicherheitsniveau","value":"Normal (Stand der Technik) – Vollständige Standard-Absicherung für KMU"},{"name":"gspp-praktik","value":"Strukturmodellierung, Umsetzung"},{"name":"zielgruppe","value":"KMU, Institutionen mit mittlerem Reifegrad"},{"name":"iso-27001-mapping","value":"A.5 (Richtlinien), A.6 (Organisation), A.8 (Asset-Management), A.12 (Betrieb), A.16 (Incident Management)"},{"name":"audit-hinweis","value":"Im Audit Kiel: Prüfen, ob alle prozessorientierten Schichten (ISMS, ORP, CON, OPS, DER) abgedeckt sind. Relevant für ISO 27001 Annex A (umfassende Abdeckung)."}],"title":"Stufe 3: Normaler Aufwand","description":"Mit normalem Aufwand (mehrere Wochen) und ggf. externer Unterstützung umsetzbar / normale laufende Aufwände. Praxisnahe Maßnahmen für den regulären Betrieb."},{"id":"gspp-stufe-4","props":[{"name":"umsetzungsaufwand","value":"Längerfristige Projekte (mehrere Monate)"},{"name":"laufender-aufwand","value":"Erheblich"},{"name":"prioritaet","value":"Mittel bis Hoch (abhängig von Risiko)"},{"name":"mapping-standard-absicherung","value":"Vollständige Standard-Absicherung inkl. aller systemorientierten Schichten (APP, SYS, IND, NET, INF) und IT-Grundschutz-Check (8.4) – BSI-Standard 200-2, Kapitel 8"},{"name":"mapping-basis-absicherung","value":"Nicht anwendbar – Aufwand zu hoch für Basis-Absicherung"},{"name":"mapping-kern-absicherung","value":"Teilweise anwendbar für komplexe Kronjuwelen – Kern-Absicherung (Kapitel 7.6)"},{"name":"mapping-prozessschritt","value":"Standard-Absicherung (Kapitel 8) – Kompletter Prozess: Strukturanalyse (8.1), Schutzbedarfsfeststellung (8.2), Modellierung (8.3), IT-Grundschutz-Check (8.4)"},{"name":"sicherheitsniveau","value":"Normal bis erhöht (je nach Bereich)"},{"name":"gspp-praktik","value":"Umsetzung, Monitoring und Evaluation"},{"name":"zielgruppe","value":"Bundesbehörden, große Unternehmen, Konzerne"},{"name":"iso-27001-mapping","value":"A.8 (Asset-Management), A.9 (Zugangskontrolle), A.10 (Kryptographie), A.11 (Physische Sicherheit), A.12 (Betrieb), A.13 (Kommunikationssicherheit), A.14 (Systemakquisition), A.15 (Lieferantenbeziehungen), A.16 (Incident Management), A.17 (BCM), A.18 (Compliance)"},{"name":"audit-hinweis","value":"Im Audit Kiel: Vollständige Prüfung aller Schichten (prozessorientiert und systemorientiert). Relevant für ISO 27001 Zertifizierung (alle Annex A Kontrollen). Besonders kritisch für Serverraum und Technikraum."}],"title":"Stufe 4: Hoher Umsetzungsaufwand","description":"Höherer Umsetzungsaufwand, häufig in längerfristigen Projekten mit externen Experten. Umfassende Anforderungen für komplexe Umgebungen."},{"id":"gspp-stufe-5","props":[{"name":"umsetzungsaufwand","value":"Erheblich / Projektbasis"},{"name":"laufender-aufwand","value":"Hoch"},{"name":"prioritaet","value":"Hoch (für kritische Assets)"},{"name":"modalverb","value":"KANN (optional, aber empfohlen für erhöhten Schutzbedarf)"},{"name":"mapping-standard-absicherung","value":"Anforderungen bei erhöhtem Schutzbedarf in allen Bausteinen und Schichten – BSI-Standard 200-2, Kapitel 8.3.6 (Anpassung der Baustein-Anforderungen)"},{"name":"mapping-kern-absicherung","value":"Vollständige Kern-Absicherung (Kapitel 7) – Identifikation kritischer Assets (7.3), Schutzbedarfsfeststellung (7.5), Modellierung (7.6), IT-Grundschutz-Check (7.7), Risikoanalyse (7.8)"},{"name":"mapping-basis-absicherung","value":"Nicht anwendbar – erfordert spezifische Risikoanalyse und erhöhten Aufwand"},{"name":"mapping-prozessschritt","value":"Kern-Absicherung (Kapitel 7) oder erweiterte Standard-Absicherung mit Risikoanalyse (Kapitel 8.5)"},{"name":"sicherheitsniveau","value":"Erhöht"},{"name":"gspp-praktik","value":"Verbesserung, Monitoring und Evaluation"},{"name":"zielgruppe","value":"Institutionen mit besonders schutzbedürftigen Informationen (z. B. KRITIS, NIS2, Geheimschutz)"},{"name":"besonderheiten","value":"Individuelle Risikoanalyse erforderlich gemäss BSI-Standard 200-3"},{"name":"iso-27001-mapping","value":"A.5 (Richtlinien), A.6 (Organisation), A.8 (Asset-Management), A.18 (Compliance) – besonders für erhöhten Schutzbedarf"},{"name":"audit-hinweis","value":"Im Audit Kiel: Prüfen, ob für kritische Assets (z. B. Serverraum, Technikraum) individuelle Risikoanalysen durchgeführt wurden. Relevant für ISO 27001 A.6.1.2 (Informationssicherheitsrollen) und A.18.2 (Compliance-Bewertung)."}],"title":"Stufe 5: Optionale Anforderungen für erhöhten Schutzbedarf","description":"Umfassende/zusätzliche Anforderungen für höheren Schutzbedarf oder Anforderung mit erheblichem Aufwand. Optionaler Hochschutz für besonders schutzbedürftige Informationen oder Systeme."}],"description":"Das 6-Stufen-Modell (Stufen 0–5) des ISMS Ratgebers orientiert sich am Umsetzungsaufwand der Anforderungen. Stufe 0 enthält zwingende MUSS-Anforderungen, Stufen 1–4 den Aufwand, Stufe 5 optionale Anforderungen für erhöhten Schutzbedarf. Relevant für das Erstzertifizierungsaudit in Kiel."},{"id":"gspp-5-stufen","props":[{"name":"quelle","value":"https://www.tenmedia.de/de/kompetenzen/it-grundschutz/it-grundschutz-plus-plus"},{"name":"modell-typ","value":"schutzbedarf"},{"name":"iso-27001-bezug","value":"Kompatibel mit ISO 27001"}],"title":"5-Stufen-Modell (schutzbedarfsbasiert nach tenmedia)","controls":[{"id":"gspp-5-stufe-1","props":[{"name":"sicherheitsniveau","value":"Normal (Stand der Technik)"},{"name":"iso-kompatibilitaet","value":"Ja – entspricht ISO 27001 Grundanforderungen"},{"name":"mapping-standard-absicherung","value":"Grundlegende Standard-Absicherung für normale Schutzbedarfe – BSI-Standard 200-2, Kapitel 8 (vereinfacht auf Basis-Anforderungen)"},{"name":"mapping-basis-absicherung","value":"Vollständige Basis-Absicherung (Kapitel 6) als primäre Vorgehensweise – BSI-Standard 200-2, Kapitel 6"},{"name":"mapping-prozessschritt","value":"Initiierung (Kapitel 3) + Basis-Absicherung (Kapitel 6)"},{"name":"zielgruppe","value":"Alle Institutionen als Mindeststandard"},{"name":"umfang","value":"Schutz gegen häufige Bedrohungen, grundlegende Sicherheitsmaßnahmen"},{"name":"gspp-praktik","value":"Governance und Compliance (Grundlagen)"},{"name":"iso-27001-mapping","value":"A.5 (Richtlinien), A.6 (Organisation), A.8 (Asset-Management), A.9 (Zugangskontrolle), A.12 (Betrieb)"},{"name":"audit-hinweis","value":"Im Audit Kiel: Prüfen, ob Basisschutzmaßnahmen (z. B. Zugriffskontrollen, Backups, Sensibilisierung) umgesetzt sind. Relevant für ISO 27001 A.9 (Zugangskontrolle) und A.12 (Betrieb). Mindestanforderung für Zertifizierung."}],"title":"Stufe 1: Basisschutz","description":"Basisschutz gegen häufige Bedrohungen, ISO-kompatibel. Niedrigschwelliger Einstieg für alle Institutionen."},{"id":"gspp-5-stufe-2","props":[{"name":"sicherheitsniveau","value":"Normal bis erhöht (je nach Umsetzung)"},{"name":"mapping-standard-absicherung","value":"Standard-Absicherung mit Fokus auf Basis- und einfache Standard-Anforderungen – BSI-Standard 200-2, Kapitel 8.1–8.3 (Strukturanalyse, Schutzbedarfsfeststellung, Modellierung)"},{"name":"mapping-basis-absicherung","value":"Erweiterte Basis-Absicherung mit zusätzlichen Bausteinen aus ORP und CON – BSI-Standard 200-2, Kapitel 6.2"},{"name":"mapping-prozessschritt","value":"Standard-Absicherung (Kapitel 8) – Teilweise Umsetzung der Prozessschritte"},{"name":"zielgruppe","value":"Kleinunternehmen, Institutionen mit ersten ISMS-Erfahrungen"},{"name":"umfang","value":"Leicht umsetzbare Maßnahmen, erweiterte Grundlagen"},{"name":"gspp-praktik","value":"Governance und Compliance, Strukturmodellierung"},{"name":"iso-27001-mapping","value":"A.5 (Richtlinien), A.6 (Organisation), A.7 (HR-Sicherheit), A.8 (Asset-Management), A.12.4 (Logging)"},{"name":"audit-hinweis","value":"Im Audit Kiel: Prüfen, ob erweiterte Maßnahmen (z. B. Schulungen, Dokumentation, Monitoring) umgesetzt sind. Relevant für ISO 27001 A.7 (HR-Sicherheit) und A.12.4 (Logging)."}],"title":"Stufe 2: Erweiterter Schutz","description":"Erweiterter Schutz mit leicht umsetzbaren Maßnahmen. Geeignet für Institutionen, die über den Basisschutz hinausgehen möchten."},{"id":"gspp-5-stufe-3","props":[{"name":"sicherheitsniveau","value":"Normal (Stand der Technik)"},{"name":"laufender-aufwand","value":"Gering – durch modularen Aufbau und Automatisierungsmöglichkeiten"},{"name":"mapping-standard-absicherung","value":"Vollständige Standard-Absicherung für KMU – BSI-Standard 200-2, Kapitel 8 (angepasst für KMU-Kontext mit vereinfachter Strukturanalyse)"},{"name":"mapping-basis-absicherung","value":"Nicht primär anwendbar – Standard-Absicherung ist für KMU mit diesem Reifegrad angemessener"},{"name":"mapping-prozessschritt","value":"Standard-Absicherung (Kapitel 8) – Vollständige Umsetzung mit KMU-spezifischen Anpassungen"},{"name":"zielgruppe","value":"Kleine und mittlere Unternehmen (KMU)"},{"name":"umfang","value":"Umfassende Maßnahmen bei geringem laufendem Aufwand"},{"name":"gspp-praktik","value":"Strukturmodellierung, Umsetzung"},{"name":"besonderheiten","value":"Vereinfachte Schutzbedarfsfeststellung, modulare Bausteinauswahl"},{"name":"iso-27001-mapping","value":"A.5 (Richtlinien), A.6 (Organisation), A.8 (Asset-Management), A.12 (Betrieb), A.18 (Compliance)"},{"name":"audit-hinweis","value":"Im Audit Kiel: Prüfen, ob KMU-spezifische Anpassungen (z. B. vereinfachte Dokumentation, modulare Bausteine) vorliegen. Relevant für ISO 27001 A.12 (Betrieb) und A.18 (Compliance)."}],"title":"Stufe 3: Praxisnahe Maßnahmen für KMU","description":"Praxisnahe Maßnahmen für KMU mit geringem laufendem Aufwand. Spezifisch auf die Bedürfnisse von kleinen und mittleren Unternehmen zugeschnitten."},{"id":"gspp-5-stufe-4","props":[{"name":"sicherheitsniveau","value":"Normal bis erhöht (je nach Bereich)"},{"name":"mapping-standard-absicherung","value":"Vollständige Standard-Absicherung inkl. aller Bausteine und Anforderungen – BSI-Standard 200-2, Kapitel 8 (komplett)"},{"name":"mapping-kern-absicherung","value":"Kern-Absicherung für besonders kritische Bereiche (Kapitel 7) als Ergänzung zur Standard-Absicherung"},{"name":"mapping-prozessschritt","value":"Standard-Absicherung (Kapitel 8) + ggf. Kern-Absicherung (Kapitel 7) für kritische Assets"},{"name":"zielgruppe","value":"Bundesbehörden, große Unternehmen, Konzerne"},{"name":"umfang","value":"Umfassende Anforderungen für komplexe IT-Landschaften"},{"name":"gspp-praktik","value":"Alle Praktiken (Governance, Strukturmodellierung, Umsetzung, Monitoring, Verbesserung)"},{"name":"besonderheiten","value":"Umfassende Dokumentation, regelmäßige Audits, Integration in bestehende Managementsysteme, Compliance mit NIS2/KRITIS"},{"name":"iso-27001-mapping","value":"Alle Annex A Kontrollen (A.5–A.18)"},{"name":"audit-hinweis","value":"Im Audit Kiel: Vollständige Prüfung aller Bausteine und Schichten. Relevant für ISO 27001 Zertifizierung (alle Annex A Kontrollen). Besonders für Serverraum und Technikraum in Kiel."}],"title":"Stufe 4: Umfassende Anforderungen","description":"Umfassende Anforderungen für Behörden und Konzerne. Vollständige Abdeckung aller Sicherheitsaspekte."},{"id":"gspp-5-stufe-5","props":[{"name":"sicherheitsniveau","value":"Erhöht"},{"name":"mapping-standard-absicherung","value":"Standard-Absicherung mit zusätzlichen Anforderungen für erhöhten Schutzbedarf – BSI-Standard 200-2, Kapitel 8.3.6 (Anpassung der Baustein-Anforderungen)"},{"name":"mapping-kern-absicherung","value":"Vollständige Kern-Absicherung (Kapitel 7) als primäre Vorgehensweise für alle kritischen Assets"},{"name":"mapping-prozessschritt","value":"Kern-Absicherung (Kapitel 7) als Hauptansatz, ergänzt durch Standard-Absicherung (Kapitel 8) für nicht-kritische Bereiche"},{"name":"zielgruppe","value":"Institutionen mit besonders schutzbedürftigen Informationen (z. B. KRITIS, NIS2, Geheimschutz, kritische Infrastruktur)"},{"name":"umfang","value":"Optionale umfassende Anforderungen für höchsten Schutzbedarf"},{"name":"gspp-praktik","value":"Alle Praktiken mit Fokus auf Monitoring, Evaluation und Verbesserung"},{"name":"besonderheiten","value":"Individuelle Risikoanalyse erforderlich (BSI-Standard 200-3), erhöhte Dokumentationsanforderungen, regelmäßige externe Audits"},{"name":"iso-27001-mapping","value":"A.5 (Richtlinien), A.6 (Organisation), A.8 (Asset-Management), A.18 (Compliance) – besonders für KRITIS/NIS2"},{"name":"audit-hinweis","value":"Im Audit Kiel: Prüfen, ob für kritische Assets (z. B. Serverraum, Technikraum) individuelle Risikoanalysen durchgeführt wurden. Relevant für ISO 27001 A.6.1.2 (Informationssicherheitsrollen) und A.18.2 (Compliance-Bewertung)."}],"title":"Stufe 5: Optionaler Hochschutz","description":"Optionaler Hochschutz für erhöhten Schutzbedarf. Zusätzliche Maßnahmen für besonders schutzbedürftige Informationen oder Systeme."}],"description":"Das 5-Stufen-Modell (Stufen 1–5) von tenmedia orientiert sich am Schutzbedarf und der Zielgruppe. Stufe 1 bietet Basisschutz für alle, während Stufe 5 optionalen Hochschutz für erhöhten Schutzbedarf bereitstellt. Relevant für das Erstzertifizierungsaudit in Kiel."}],"description":"Das 5/6-Stufen-Modell von Grundschutz++ kategorisiert Anforderungen nach Umsetzungsaufwand (6-Stufen) oder Schutzbedarf (5-Stufen). Diese Gruppe enthält die Abbildung der GS++-Stufen auf die Standard- und Basis-Absicherung des BSI IT-Grundschutz. Berücksichtigt den Kontext eines Erstzertifizierungsaudits in Kiel nach Grundschutz++ auf Basis von ISO 27001."},{"id":"standard-absicherung","props":[{"name":"kapitel","value":"BSI-Standard 200-2, Kapitel 8"},{"name":"ziel","value":"Umfassende und tiefgehende Absicherung aller Geschäftsprozesse und Assets"},{"name":"zielgruppe","value":"Alle Institutionen (präferierte Vorgehensweise des BSI)"},{"name":"iso-kompatibilitaet","value":"Ja - Grundlage für ISO 27001 Zertifizierung"},{"name":"sicherheitsniveau","value":"Normal (Stand der Technik) für alle Bereiche"},{"name":"audit-relevanz","value":"Primär für Zertifizierungsaudit Kiel"}],"title":"BSI IT-Grundschutz Standard-Absicherung","groups":[{"id":"standard-prozess","title":"Prozessschritte der Standard-Absicherung","controls":[{"id":"standard-8.1","props":[{"name":"kapitel","value":"BSI-Standard 200-2, Kapitel 8.1"},{"name":"teilschritte","value":"8.1.1 Komplexitätsreduktion durch Gruppenbildung | 8.1.2 Erfassung der Geschäftsprozesse | 8.1.3 Erfassung der Anwendungen | 8.1.4 Netzplanerhebung | 8.1.5 Erhebung der IT-Systeme | 8.1.6 Erhebung der ICS-Systeme | 8.1.7 Erhebung sonstiger Geräte | 8.1.8 Erfassung der Räume"},{"name":"gspp-6-stufen-mapping","value":"Stufe 3-4"},{"name":"gspp-5-stufen-mapping","value":"Stufe 2-4"},{"name":"aufwand","value":"Mittel bis Hoch"},{"name":"relevante-schichten","value":"Alle Schichten (ISMS, ORP, CON, OPS, DER, APP, SYS, IND, NET, INF)"},{"name":"iso-27001-mapping","value":"A.5.1 (Richtlinien für die Informationssicherheit), A.8.1 (Inventar der Assets)"},{"name":"audit-hinweis","value":"Im Audit Kiel: Prüfen, ob alle Geschäftsprozesse, Anwendungen, IT-Systeme und Räume (insbesondere Serverraum, Technikraum) erfasst sind. Relevant für ISO 27001 A.8.1.1 (Inventar der Informationswerte)."}],"title":"Strukturanalyse","description":"Erfassung der Geschäftsprozesse, Anwendungen, IT-Systeme, ICS-Systeme, sonstiger Geräte und Räume zur Komplexitätsreduktion."},{"id":"standard-8.2","props":[{"name":"kapitel","value":"BSI-Standard 200-2, Kapitel 8.2"},{"name":"teilschritte","value":"8.2.1 Definition der Schutzbedarfskategorien | 8.2.2 Vorgehen bei der Schutzbedarfsfeststellung | 8.2.3 Schutzbedarfsfeststellung für Geschäftsprozesse/Anwendungen | 8.2.4 für IT-Systeme | 8.2.5 für ICS-Systeme | 8.2.6 für sonstige Geräte | 8.2.7 für Räume | 8.2.8 für Kommunikationsverbindungen | 8.2.9 Schlussfolgerungen"},{"name":"gspp-6-stufen-mapping","value":"Stufe 3-5"},{"name":"gspp-5-stufen-mapping","value":"Stufe 2-5"},{"name":"aufwand","value":"Mittel"},{"name":"grundlage-fuer","value":"Modellierung (8.3) und Risikoanalyse (8.5)"},{"name":"iso-27001-mapping","value":"A.8.2 (Klassifizierung von Informationen)"},{"name":"audit-hinweis","value":"Im Audit Kiel: Prüfen, ob Schutzbedarf für alle Assets (insbesondere Serverraum, Technikraum, HR-Daten) festgestellt wurde. Relevant für ISO 27001 A.8.2.1 (Klassifizierung von Informationen)."}],"title":"Schutzbedarfsfeststellung","description":"Festlegung der Schutzbedarfskategorien (Vertraulichkeit, Integrität, Verfügbarkeit) für alle erfassten Assets."},{"id":"standard-8.3","props":[{"name":"kapitel","value":"BSI-Standard 200-2, Kapitel 8.3"},{"name":"teilschritte","value":"8.3.1 Das IT-Grundschutz-Kompendium | 8.3.2 Modellierung: Auswahl von Bausteinen | 8.3.3 Reihenfolge der Baustein-Umsetzung | 8.3.4 Zuordnung von Bausteinen | 8.3.5 Modellierung bei Virtualisierung und Cloud-Systemen | 8.3.6 Anpassung der Baustein-Anforderungen | 8.3.7 Einbindung externer Dienstleister"},{"name":"gspp-6-stufen-mapping","value":"Stufe 2-5"},{"name":"gspp-5-stufen-mapping","value":"Stufe 1-5"},{"name":"aufwand","value":"Mittel bis Hoch"},{"name":"zentraler-schritt","value":"Ja - Kern der Standard-Absicherung"},{"name":"iso-27001-mapping","value":"A.5.1 (Richtlinien für die Informationssicherheit), A.8.1 (Asset-Management), A.12.1 (Betriebsverfahren und Verantwortlichkeiten)"},{"name":"audit-hinweis","value":"Im Audit Kiel: Prüfen, ob alle relevanten Bausteine (z. B. SYS.1 Server, NET.1 Netzarchitektur, INF.2 Rechenzentrum) ausgewählt und angepasst wurden. Relevant für ISO 27001 A.8.1.2 (Eigentümerschaft der Assets)."}],"title":"Modellierung eines Informationsverbunds","description":"Auswahl und Anpassung von Bausteinen aus dem IT-Grundschutz-Kompendium für den Informationsverbund."},{"id":"standard-8.4","props":[{"name":"kapitel","value":"BSI-Standard 200-2, Kapitel 8.4"},{"name":"teilschritte","value":"8.4.1 Organisatorische Vorarbeiten | 8.4.2 Durchführung des Soll-Ist-Vergleichs | 8.4.3 Dokumentation der Ergebnisse"},{"name":"gspp-6-stufen-mapping","value":"Stufe 3-4"},{"name":"gspp-5-stufen-mapping","value":"Stufe 2-4"},{"name":"aufwand","value":"Hoch"},{"name":"ergebnis","value":"Identifikation von Sicherheitsdefiziten und fehlenden Maßnahmen"},{"name":"iso-27001-mapping","value":"A.12.7 (Information Systems Audit Considerations)"},{"name":"audit-hinweis","value":"Im Audit Kiel: Soll-Ist-Vergleich durchführen und Defizite dokumentieren (insbesondere für Serverraum und Technikraum). Relevant für ISO 27001 A.12.7.1 (Audit von Informationssicherheit)."}],"title":"IT-Grundschutz-Check","description":"Soll-Ist-Vergleich zwischen den Sicherheitsanforderungen aus den relevanten Bausteinen und den in der Institution bereits realisierten Maßnahmen."},{"id":"standard-8.5","props":[{"name":"kapitel","value":"BSI-Standard 200-2, Kapitel 8.5"},{"name":"grundlage","value":"BSI-Standard 200-3 (Risikoanalyse auf der Basis von IT-Grundschutz)"},{"name":"gspp-6-stufen-mapping","value":"Stufe 4-5"},{"name":"gspp-5-stufen-mapping","value":"Stufe 4-5"},{"name":"aufwand","value":"Hoch bis Sehr Hoch"},{"name":"anwendungsfall","value":"Bei erhöhtem Schutzbedarf oder Nicht-Umsetzung von Standard-Anforderungen"},{"name":"iso-27001-mapping","value":"A.6.1 (Informationssicherheitsrollen und -verantwortlichkeiten), A.18.2 (Compliance-Bewertung)"},{"name":"audit-hinweis","value":"Im Audit Kiel: Prüfen, ob für kritische Assets (z. B. Serverraum, Technikraum) Risikoanalysen durchgeführt wurden. Relevant für ISO 27001 A.6.1.2 (Informationssicherheitsrollen) und A.18.2.1 (Interne Audits)."}],"title":"Risikoanalyse","description":"Durchführung einer Risikoanalyse bei erhöhtem Schutzbedarf oder wenn die Standard-Anforderungen nicht ausreichen."}],"description":"Die fünf Hauptprozessschritte der Standard-Absicherung gemäss BSI-Standard 200-2, Kapitel 8. Relevant für das Erstzertifizierungsaudit in Kiel."},{"id":"standard-schichten","props":[{"name":"quelle","value":"BSI-Standard 200-2, Kapitel 2.4"},{"name":"anzahl","value":"10"}],"title":"Schichtenmodell des IT-Grundschutz-Kompendiums","controls":[{"id":"schicht-isms","props":[{"name":"typ","value":"prozessorientiert"},{"name":"gspp-6-stufen-mapping","value":"Stufe 0-1 (Grundlagen) bis Stufe 4 (umfassend)"},{"name":"gspp-5-stufen-mapping","value":"Stufe 1-4 (alle Stufen, da grundlegend)"},{"name":"relevanz","value":"Grundlegend für alle Sicherheitsniveaus"},{"name":"beispiel-bausteine","value":"ISMS.1 Sicherheitsmanagement, ISMS.2 Notfallmanagement"},{"name":"iso-27001-mapping","value":"A.5 (Richtlinien für die Informationssicherheit), A.6 (Organisation der Informationssicherheit)"},{"name":"audit-hinweis","value":"Im Audit Kiel: Prüfen, ob ISMS.1 (Sicherheitsmanagement) und ISMS.2 (Notfallmanagement) umgesetzt sind. Relevant für ISO 27001 A.5.1 (Richtlinien) und A.6.1 (Rollen und Verantwortlichkeiten)."}],"title":"ISMS - Managementsysteme für Informationssicherheit","description":"Bausteine für das Informationssicherheitsmanagementsystem, Governance und Compliance."},{"id":"schicht-orp","props":[{"name":"typ","value":"prozessorientiert"},{"name":"gspp-6-stufen-mapping","value":"Stufe 1-3"},{"name":"gspp-5-stufen-mapping","value":"Stufe 1-4"},{"name":"beispiel-bausteine","value":"ORP.1 Organisation, ORP.2 Personal, ORP.3 Sensibilisierung"},{"name":"iso-27001-mapping","value":"A.6 (Organisation der Informationssicherheit), A.7 (HR-Sicherheit)"},{"name":"audit-hinweis","value":"Im Audit Kiel: Prüfen, ob ORP.1 (Organisation), ORP.2 (Personal) und ORP.3 (Sensibilisierung) umgesetzt sind. Relevant für ISO 27001 A.7.1.1 (Bewusstsein für Informationssicherheit)."}],"title":"ORP - Organisation und Personal","description":"Bausteine für organisatorische und personelle Sicherheitsmaßnahmen."},{"id":"schicht-con","props":[{"name":"typ","value":"prozessorientiert"},{"name":"gspp-6-stufen-mapping","value":"Stufe 1-4"},{"name":"gspp-5-stufen-mapping","value":"Stufe 1-4"},{"name":"beispiel-bausteine","value":"CON.1 Datenschutz, CON.2 Notfallvorsorge"},{"name":"iso-27001-mapping","value":"A.5.1 (Richtlinien für die Informationssicherheit), A.17 (Informationssicherheitsaspekte des Business Continuity Managements)"},{"name":"audit-hinweis","value":"Im Audit Kiel: Prüfen, ob CON.1 (Datenschutz) und CON.2 (Notfallvorsorge) umgesetzt sind. Relevant für ISO 27001 A.17.1.1 (Informationssicherheits-Kontinuität)."}],"title":"CON - Konzepte und Vorgehensweisen","description":"Bausteine für Sicherheitskonzepte und -vorgehensweisen."},{"id":"schicht-ops","props":[{"name":"typ","value":"prozessorientiert"},{"name":"gspp-6-stufen-mapping","value":"Stufe 2-4"},{"name":"gspp-5-stufen-mapping","value":"Stufe 2-4"},{"name":"beispiel-bausteine","value":"OPS.1 Outsourcing, OPS.2 Cloud-Nutzung"},{"name":"iso-27001-mapping","value":"A.12 (Betriebssicherheit), A.13 (Kommunikationssicherheit)"},{"name":"audit-hinweis","value":"Im Audit Kiel: Prüfen, ob OPS.1 (Outsourcing) und OPS.2 (Cloud-Nutzung) umgesetzt sind. Relevant für ISO 27001 A.12.1.1 (Betriebsverfahren)."}],"title":"OPS - Betrieb","description":"Bausteine für den sicheren Betrieb von IT-Systemen."},{"id":"schicht-der","props":[{"name":"typ","value":"prozessorientiert"},{"name":"gspp-6-stufen-mapping","value":"Stufe 3-5"},{"name":"gspp-5-stufen-mapping","value":"Stufe 3-5"},{"name":"beispiel-bausteine","value":"DER.1 Vorfallbehandlung"},{"name":"iso-27001-mapping","value":"A.16 (Incident Management)"},{"name":"audit-hinweis","value":"Im Audit Kiel: Prüfen, ob DER.1 (Vorfallbehandlung) umgesetzt ist. Relevant für ISO 27001 A.16.1.1 (Verantwortlichkeiten und Verfahren für Incident Management)."}],"title":"DER - Detektion und Reaktion","description":"Bausteine für die Detektion von Sicherheitsvorfällen und die Reaktion darauf."},{"id":"schicht-app","props":[{"name":"typ","value":"systemorientiert"},{"name":"gspp-6-stufen-mapping","value":"Stufe 2-4"},{"name":"gspp-5-stufen-mapping","value":"Stufe 2-4"},{"name":"beispiel-bausteine","value":"APP.1 Anwendungen, APP.2 Datenbanken"},{"name":"iso-27001-mapping","value":"A.8 (Asset-Management), A.14 (Systemakquisition, -entwicklung und -wartung)"},{"name":"audit-hinweis","value":"Im Audit Kiel: Prüfen, ob APP.1 (Anwendungen) und APP.2 (Datenbanken) umgesetzt sind. Relevant für ISO 27001 A.14.1.1 (Informationssicherheitsanforderungen)."}],"title":"APP - Anwendungen","description":"Bausteine für die Sicherheit von Anwendungen und Datenbanken."},{"id":"schicht-sys","props":[{"name":"typ","value":"systemorientiert"},{"name":"gspp-6-stufen-mapping","value":"Stufe 2-4"},{"name":"gspp-5-stufen-mapping","value":"Stufe 2-4"},{"name":"beispiel-bausteine","value":"SYS.1 Server, SYS.2 Clients, SYS.3 Mobilgeräte"},{"name":"iso-27001-mapping","value":"A.8 (Asset-Management), A.9 (Zugangskontrolle)"},{"name":"audit-hinweis","value":"Im Audit Kiel: Prüfen, ob SYS.1 (Server), SYS.2 (Clients) und SYS.3 (Mobilgeräte) umgesetzt sind. Relevant für ISO 27001 A.9.1.1 (Zugangskontrollrichtlinie)."}],"title":"SYS - IT-Systeme","description":"Bausteine für Server, Clients, Mobilgeräte und andere IT-Systeme."},{"id":"schicht-ind","props":[{"name":"typ","value":"systemorientiert"},{"name":"gspp-6-stufen-mapping","value":"Stufe 3-5"},{"name":"gspp-5-stufen-mapping","value":"Stufe 3-5"},{"name":"beispiel-bausteine","value":"IND.1 Industrielle Steuerungssysteme"},{"name":"iso-27001-mapping","value":"A.8 (Asset-Management), A.9 (Zugangskontrolle), A.12 (Betriebssicherheit)"},{"name":"audit-hinweis","value":"Im Audit Kiel: Prüfen, ob IND.1 (Industrielle Steuerungssysteme) relevant ist (falls zutreffend, z. B. für Produktionsanlagen). Relevant für ISO 27001 A.8.1.1 (Inventar der Assets)."}],"title":"IND - Industrielle IT","description":"Bausteine für Industrielle Steuerungssysteme (ICS), IoT und Smart Building."},{"id":"schicht-net","props":[{"name":"typ","value":"systemorientiert"},{"name":"gspp-6-stufen-mapping","value":"Stufe 2-4"},{"name":"gspp-5-stufen-mapping","value":"Stufe 2-4"},{"name":"beispiel-bausteine","value":"NET.1 Netzarchitektur, NET.2 Firewalls"},{"name":"iso-27001-mapping","value":"A.13 (Kommunikationssicherheit)"},{"name":"audit-hinweis","value":"Im Audit Kiel: Prüfen, ob NET.1 (Netzarchitektur) und NET.2 (Firewalls) umgesetzt sind. Relevant für ISO 27001 A.13.1.1 (Netzwerk-Sicherheitskontrollen)."}],"title":"NET - Netze und Kommunikation","description":"Bausteine für Netzwerke, Kommunikationsverbindungen und Remote-Zugriff."},{"id":"schicht-inf","props":[{"name":"typ","value":"systemorientiert"},{"name":"gspp-6-stufen-mapping","value":"Stufe 2-4"},{"name":"gspp-5-stufen-mapping","value":"Stufe 2-4"},{"name":"beispiel-bausteine","value":"INF.1 Gebäude, INF.2 Rechenzentrum"},{"name":"iso-27001-mapping","value":"A.11 (Physische und umgebungsbezogene Sicherheit)"},{"name":"audit-hinweis","value":"Im Audit Kiel: Prüfen, ob INF.1 (Gebäude) und INF.2 (Rechenzentrum/Serverraum) umgesetzt sind. Besonders kritisch für Serverraum und Technikraum. Relevant für ISO 27001 A.11.1.1 (Physische Sicherheitsperimeter)."}],"title":"INF - Infrastruktur","description":"Bausteine für Gebäude, Rechenzentren, Räume und physische Sicherheit."}],"description":"Die 10 Schichten (Layers) des IT-Grundschutz-Kompendiums, in die die Bausteine thematisch gruppiert sind. Prozessorientierte und systemorientierte Bausteine bilden die Grundlage für die Modellierung. Relevant für das Erstzertifizierungsaudit in Kiel."}],"description":"Die Standard-Absicherung nach BSI-Standard 200-2 (Kapitel 8) ist die vom BSI präferierte Vorgehensweise und bietet eine vollständige, tiefgehende Absicherung der gesamten Institution. Sie entspricht in den Grundzügen der klassischen IT-Grundschutz-Vorgehensweise und ist ISO 27001 kompatibel. Relevant für das Erstzertifizierungsaudit in Kiel."},{"id":"basis-absicherung","props":[{"name":"kapitel","value":"BSI-Standard 200-2, Kapitel 6"},{"name":"ziel","value":"Schnellstmögliche Senkung der größten Risiken durch breite Erst-Absicherung"},{"name":"zielgruppe","value":"ISMS-Einsteiger, kleinere Institutionen, niedriger Reifegrad der Informationssicherheit"},{"name":"sicherheitsniveau","value":"Deutlich unter Standard-Absicherung, aber gute Grundlage für den Einstieg"},{"name":"iso-kompatibilitaet","value":"Nein - Zertifizierung nach ISO 27001 nicht möglich"},{"name":"gspp-6-stufen-mapping","value":"Stufe 1-2 (primär), Stufe 0 (MUSS-Anforderungen)"},{"name":"gspp-5-stufen-mapping","value":"Stufe 1 (Basisschutz)"},{"name":"uebergang","value":"Sollte mittelfristig durch Standard- oder Kern-Absicherung ergänzt werden"},{"name":"audit-relevanz","value":"Ja - Für Einstiegsbewertung im Audit Kiel"}],"title":"Basis-Absicherung","controls":[{"id":"basis-6.1","props":[{"name":"kapitel","value":"BSI-Standard 200-2, Kapitel 6.1"},{"name":"inhalt","value":"Abgrenzung des Informationsverbunds mit klaren Schnittstellen"},{"name":"gspp-6-stufen-mapping","value":"Stufe 1 (6-Stufen)"},{"name":"gspp-5-stufen-mapping","value":"Stufe 1 (5-Stufen)"},{"name":"iso-27001-mapping","value":"A.5.1 (Richtlinien für die Informationssicherheit)"},{"name":"audit-hinweis","value":"Im Audit Kiel: Prüfen, ob der Geltungsbereich für die Basis-Absicherung klar definiert ist (z. B. alle Standorte der Auto-KFZ AG). Relevant für ISO 27001 A.5.1.1 (Richtlinien für die Informationssicherheit)."}],"title":"Festlegung des Geltungsbereichs","description":"Definition des Informationsverbunds, für den die Basis-Absicherung erstellt werden soll."},{"id":"basis-6.2","props":[{"name":"kapitel","value":"BSI-Standard 200-2, Kapitel 6.2"},{"name":"teilschritte","value":"6.2.1 Modellierung nach IT-Grundschutz | 6.2.2 Reihenfolge der Baustein-Umsetzung | 6.2.3 Zuordnung von Bausteinen | 6.2.4 Ermittlung konkreter Maßnahmen aus Anforderungen"},{"name":"gspp-6-stufen-mapping","value":"Stufe 1-2 (6-Stufen)"},{"name":"gspp-5-stufen-mapping","value":"Stufe 1 (5-Stufen)"},{"name":"iso-27001-mapping","value":"A.8.1 (Inventar der Assets), A.12.1 (Betriebsverfahren)"},{"name":"audit-hinweis","value":"Im Audit Kiel: Prüfen, ob die Basis-Bausteine (z. B. ISMS.1, ORP.1, CON.1) ausgewählt und priorisiert wurden. Relevant für ISO 27001 A.8.1.1 (Inventar der Informationswerte)."}],"title":"Auswahl und Priorisierung für die Basis-Absicherung","description":"Modellierung des Informationsverbunds nach IT-Grundschutz und Auswahl der relevanten Bausteine."},{"id":"basis-6.3","props":[{"name":"kapitel","value":"BSI-Standard 200-2, Kapitel 6.3"},{"name":"ergebnis","value":"Identifikation von Defiziten bei Basis-Anforderungen"},{"name":"gspp-6-stufen-mapping","value":"Stufe 1-2 (6-Stufen)"},{"name":"gspp-5-stufen-mapping","value":"Stufe 1 (5-Stufen)"},{"name":"iso-27001-mapping","value":"A.12.7 (Information Systems Audit Considerations)"},{"name":"audit-hinweis","value":"Im Audit Kiel: Soll-Ist-Vergleich für Basis-Anforderungen durchführen (z. B. für Empfangsbereich, Büros). Relevant für ISO 27001 A.12.7.1 (Audit von Informationssicherheit)."}],"title":"IT-Grundschutz-Check für Basis-Absicherung","description":"Soll-Ist-Vergleich, ob die Basis-Anforderungen bereits umgesetzt sind."}],"description":"Die Basis-Absicherung nach BSI-Standard 200-2 (Kapitel 6) bietet einen schnellen Einstieg in den IT-Grundschutz. Sie ermöglicht eine breite, grundlegende Erst-Absicherung über alle Geschäftsprozesse hinweg und ist besonders für ISMS-Einsteiger geeignet. Relevant für die Vorprüfung im Audit Kiel."}]}}