GC.10.1 — Festlegung von Vorgehensweisen
MUSS
Security level: normal-SdT
Effort 0
BSI-Methodik-Grundschutz-plus-plus
Statement (Anforderung)
Governance und Compliance MUSS die Verfahren des ISMS sowie die Zuständigkeiten festlegen.
Guidance (Erläuterung)
Der Umfang der Dokumentation der Verfahren ist der Größe und Komplexität der Institution angemessen. Die Verfahren beinhalten insbesondere die Risikobetrachtung, die Etablierung von Änderungen im ISMS, die Dokumentenlenkung, die Leistungsbewertung und Auditierung, kontinuierliche Verbesserung sowie reaktive Verfahren (Sicherheitsvorfallbehandlung, Notfallmanagement). In kleineren Institutionen kann dies beispielsweise in einem Dokument erfolgen. In größeren Institutionen kann die Etablierung von Prozessen hierfür erforderlich sein.
Statement properties
| Name | Value |
|---|---|
| documentation | ISMS-Regelwerk |
| result | die Verfahren des ISMS sowie die Zuständigkeiten |
| action_word | festlegen |
| modal_verb | MUSS |
Control properties
| Name | Value |
|---|---|
| alt-identifier | 4b2b03f6-103d-4435-9edc-27cd961e2361 |
| sec_level | normal-SdT |
| effort_level | 0 |
Raw OSCAL JSON (complete control)
{
"class": "BSI-Methodik-Grundschutz-plus-plus",
"id": "GC.10.1",
"links": [
{
"href": "#GC.11.1",
"rel": "related"
}
],
"parts": [
{
"id": "GC.10.1_stm",
"name": "statement",
"props": [
{
"name": "documentation",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv",
"value": "ISMS-Regelwerk"
},
{
"name": "result",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv",
"value": "die Verfahren des ISMS sowie die Zuständigkeiten"
},
{
"name": "action_word",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv",
"value": "festlegen"
},
{
"name": "modal_verb",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv",
"value": "MUSS"
}
],
"prose": "Governance und Compliance MUSS die Verfahren des ISMS sowie die Zuständigkeiten festlegen."
},
{
"id": "GC.10.1_gdn",
"name": "guidance",
"prose": "Der Umfang der Dokumentation der Verfahren ist der Größe und Komplexität der Institution angemessen. Die Verfahren beinhalten insbesondere die Risikobetrachtung, die Etablierung von Änderungen im ISMS, die Dokumentenlenkung, die Leistungsbewertung und Auditierung, kontinuierliche Verbesserung sowie reaktive Verfahren (Sicherheitsvorfallbehandlung, Notfallmanagement). In kleineren Institutionen kann dies beispielsweise in einem Dokument erfolgen. In größeren Institutionen kann die Etablierung von Prozessen hierfür erforderlich sein."
}
],
"props": [
{
"name": "alt-identifier",
"value": "4b2b03f6-103d-4435-9edc-27cd961e2361"
},
{
"name": "sec_level",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv",
"value": "normal-SdT"
},
{
"name": "effort_level",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv",
"value": "0"
}
],
"title": "Festlegung von Vorgehensweisen"
}