GC.8.1 — Verfahren zur Ressourcenplanung
MUSS
Security level: normal-SdT
Effort 0
BSI-Methodik-Grundschutz-plus-plus
Statement (Anforderung)
Governance und Compliance MUSS ein Verfahren zur kontinuierlichen, wirtschaftlichen Planung von Ressourcen für das ISMS verankern.
Guidance (Erläuterung)
Die Ressourcenplanung berücksichtigt die personellen, finanziellen und materiellen bzw. technischen Ressourcen.
Statement properties
| Name | Value |
|---|---|
| result | ein Verfahren zur kontinuierlichen, wirtschaftlichen Planung von Ressourcen für das ISMS |
| action_word | verankern |
| modal_verb | MUSS |
Control properties
| Name | Value |
|---|---|
| alt-identifier | 4378f5ac-3387-408e-974a-b04e5079c372 |
| sec_level | normal-SdT |
| effort_level | 0 |
Sub-controls
Raw OSCAL JSON (complete control)
{
"class": "BSI-Methodik-Grundschutz-plus-plus",
"controls": [
{
"class": "BSI-Methodik-Grundschutz-plus-plus",
"controls": [
{
"class": "BSI-Methodik-Grundschutz-plus-plus",
"controls": [
{
"class": "BSI-Methodik-Grundschutz-plus-plus",
"id": "GC.8.1.1.1.1",
"parts": [
{
"id": "GC.8.1.1.1.1_stm",
"name": "statement",
"props": [
{
"name": "documentation",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv",
"value": "Tätigkeits- & Rollenbeschreibung"
},
{
"name": "result",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv",
"value": "das direkte Vorspracherecht des ISB bei der Institutionsleitung"
},
{
"name": "action_word",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv",
"value": "verankern"
},
{
"name": "modal_verb",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv",
"value": "MUSS"
}
],
"prose": "Governance und Compliance MUSS das direkte Vorspracherecht des ISB bei der Institutionsleitung verankern."
},
{
"id": "GC.8.1.1.1.1_gdn",
"name": "guidance",
"prose": "Das Vorspracherecht trägt dazu bei, dass die Institutionsleitung ein vollständiges und unverfälschtes Bild über den Stand der Informationssicherheit erhält. Ohne dieses direkte Vorsprachrecht kann es passieren, dass andere Organisationseinheiten sicherheitsrelevante Informationen in der Weitergabe beeinflussen."
}
],
"props": [
{
"name": "alt-identifier",
"value": "2daf1f95-862a-4b5e-9d63-90723384a0df"
},
{
"name": "sec_level",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv",
"value": "normal-SdT"
},
{
"name": "effort_level",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv",
"value": "0"
}
],
"title": "Vorspracherecht des Informationssicherheitsbeauftragten"
}
],
"id": "GC.8.1.1.1",
"params": [
{
"id": "gc.8.1.1.1-prm1",
"label": "einer unabhängigen Person",
"props": [
{
"name": "alt-identifier",
"value": "96ebe8f3-2419-45d0-b981-dc973d21c17c"
}
]
}
],
"parts": [
{
"id": "GC.8.1.1.1_stm",
"name": "statement",
"props": [
{
"name": "documentation",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv",
"value": "Sicherheitsorganisation"
},
{
"name": "result",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv",
"value": "die Rolle des Informationssicherheitsbeauftragten {{einer unabhängigen Person}}"
},
{
"name": "result_specification",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv",
"value": ", welche unmittelbar der Institutionsleitung unterstellt ist,"
},
{
"name": "action_word",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv",
"value": "zuweisen"
},
{
"name": "modal_verb",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv",
"value": "MUSS"
}
],
"prose": "Governance und Compliance MUSS die Rolle des Informationssicherheitsbeauftragten {{ insert: param, gc.8.1.1.1-prm1 }} , welche unmittelbar der Institutionsleitung unterstellt ist, zuweisen."
},
{
"id": "GC.8.1.1.1_gdn",
"name": "guidance",
"prose": "Informationssicherheit liegt in der Verantwortung der Institutionsleitung. Die operative Aufgabe „Informationssicherheit“ wird an einen Informationssicherheitsbeauftragten (ISB) delegiert, der diese Aufgabe innerhalb der Institution koordiniert und vorantreibt. Daher ist diese Rolle in jeder Institution (unabhängig von Art und Größe) zu besetzen. Je nach Art und Ausrichtung der Institution wird der ISB anders genannt. Häufige Titel sind neben dem Informationssicherheitsbeauftragten, Chief Information Security Officer (CISO) oder Informationssicherheitsmanager (ISM). Die Hauptaufgabe des ISB besteht darin, die Institutionsleitung bei deren Aufgabenwahrnehmung bezüglich der Informationssicherheit zu beraten und diese bei der Umsetzung zu unterstützen. Zu den ISB-Aufgaben gehört es u.a., den Sicherheitsprozess operativ zu steuern und zu koordinieren, die Institutionsleitung bei der Erstellung der Sicherheitsleitlinie zu unterstützen, die Erstellung des Sicherheitskonzepts und zugehöriger Teilkonzepte und Richtlinien zu koordinieren, den Umsetzungsplan für Sicherheitsmaßnahmen anzufertigen, sowie ihre Umsetzung zu initiieren und zu überprüfen, der Institutionsleitung und anderen Sicherheitsverantwortlichen über den Status der Informationssicherheit zu berichten, sicherheitsrelevante Projekte zu koordinieren, sicherheitsrelevante Vorfälle zu untersuchen, sowie Sensibilisierungen und Schulungen zur Informationssicherheit zu initiieren und zu koordinieren."
}
],
"props": [
{
"name": "alt-identifier",
"value": "96ebe8f3-2419-45d0-b981-dc973d21c17c"
},
{
"name": "sec_level",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv",
"value": "normal-SdT"
},
{
"name": "effort_level",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv",
"value": "0"
}
],
"title": "Informationssicherheitsbeauftragter"
}
],
"id": "GC.8.1.1",
"parts": [
{
"id": "GC.8.1.1_stm",
"name": "statement",
"props": [
{
"name": "documentation",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv",
"value": "Tätigkeits- & Rollenbeschreibung"
},
{
"name": "result",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv",
"value": "die Rollen und Zuständigkeiten im Rahmen des ISMS"
},
{
"name": "result_specification",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv",
"value": "inklusive ihrer Kompetenzen bzw. Befugnisse"
},
{
"name": "action_word",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv",
"value": "zuweisen"
},
{
"name": "modal_verb",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv",
"value": "MUSS"
}
],
"prose": "Governance und Compliance MUSS die Rollen und Zuständigkeiten im Rahmen des ISMS inklusive ihrer Kompetenzen bzw. Befugnisse zuweisen."
},
{
"id": "GC.8.1.1_gdn",
"name": "guidance",
"prose": "Im Rahmen des ISMS sind die Rollen hinsichtlich der Aufgaben, der dafür notwendigen Qualifikation und der notwendigen Befugnisse festgelegt. Eine zentrale Rolle wäre beispielsweise der \"Informationssicherheitsbeauftragte\" (ISB)."
}
],
"props": [
{
"name": "alt-identifier",
"value": "5cc59bb1-af0d-457f-a548-03373447fec7"
},
{
"name": "sec_level",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv",
"value": "normal-SdT"
},
{
"name": "effort_level",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv",
"value": "0"
}
],
"title": "Festlegung von Rollen und Zuständigkeiten"
},
{
"class": "BSI-Methodik-Grundschutz-plus-plus",
"id": "GC.8.1.2",
"parts": [
{
"id": "GC.8.1.2_stm",
"name": "statement",
"props": [
{
"name": "documentation",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv",
"value": "Geschäftsverteilungsplan"
},
{
"name": "result",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv",
"value": "Stellvertreterregelungen für alle relevanten Rollen und Zuständigkeiten im ISMS"
},
{
"name": "action_word",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv",
"value": "zuweisen"
},
{
"name": "modal_verb",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv",
"value": "MUSS"
}
],
"prose": "Governance und Compliance MUSS Stellvertreterregelungen für alle relevanten Rollen und Zuständigkeiten im ISMS zuweisen."
},
{
"id": "GC.8.1.2_gdn",
"name": "guidance",
"prose": "Eine kontinuierliche Handlungsunfähigkeit der Sicherheitsorganisation kann nur mit Stellvertreterregelungen für alle relevanten Rollen gewährleistet werden."
}
],
"props": [
{
"name": "alt-identifier",
"value": "0d09d72c-92af-4749-9ce1-a523f0546e46"
},
{
"name": "sec_level",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv",
"value": "normal-SdT"
},
{
"name": "effort_level",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv",
"value": "0"
}
],
"title": "Stellvertreterregelungen"
},
{
"class": "BSI-Methodik-Grundschutz-plus-plus",
"id": "GC.8.1.3",
"links": [
{
"href": "#GC.8.1.1",
"rel": "required"
}
],
"parts": [
{
"id": "GC.8.1.3_stm",
"name": "statement",
"props": [
{
"name": "result",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv",
"value": "Maßnahmen zur Vermeidung von Interessenkonflikten bei der Festlegung von Rollen und Zuständigkeiten des ISMS"
},
{
"name": "action_word",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv",
"value": "festlegen"
},
{
"name": "modal_verb",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv",
"value": "MUSS"
}
],
"prose": "Governance und Compliance MUSS Maßnahmen zur Vermeidung von Interessenkonflikten bei der Festlegung von Rollen und Zuständigkeiten des ISMS festlegen."
},
{
"id": "GC.8.1.3_gdn",
"name": "guidance",
"prose": "Für die Vermeidung von Interessenkonflikten wird insbesondere die Zuordnung konkurrierender Rollen (bspw. ausführender und prüfender oder freigebender Rollen) vermieden. Dies erfolgt beispielsweise durch eine entsprechende Etablierung von Rollen in der Aufbauorganisation (z. B. Informationssicherheitsbeauftragter als Stabtelle). Es können aber auch weitere Maßnahmen (z. B. Vier-Augen-Prinzip) genutzt werden."
}
],
"props": [
{
"name": "alt-identifier",
"value": "e57f0e21-92f1-4ddb-8248-e74613905d7d"
},
{
"name": "sec_level",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv",
"value": "normal-SdT"
},
{
"name": "effort_level",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv",
"value": "0"
}
],
"title": "Vermeidung von Interessenkonflikten"
},
{
"class": "BSI-Methodik-Grundschutz-plus-plus",
"id": "GC.8.1.4",
"links": [
{
"href": "#GC.8.1.1",
"rel": "required"
},
{
"href": "#GC.8.1.5",
"rel": "required"
}
],
"parts": [
{
"id": "GC.8.1.4_stm",
"name": "statement",
"props": [
{
"name": "documentation",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv",
"value": "Sicherheitsorganisation"
},
{
"name": "result",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv",
"value": "die Sicherheitsorganisation für das ISMS"
},
{
"name": "result_specification",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv",
"value": "mit den festgelegten Rollen, Zuständigkeiten sowie Gremien"
},
{
"name": "action_word",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv",
"value": "festlegen"
},
{
"name": "modal_verb",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv",
"value": "MUSS"
}
],
"prose": "Governance und Compliance MUSS die Sicherheitsorganisation für das ISMS mit den festgelegten Rollen, Zuständigkeiten sowie Gremien festlegen."
},
{
"id": "GC.8.1.4_gdn",
"name": "guidance",
"prose": "Ziel der Sicherheitsorganisation ist es, die relevanten Bereiche eines ISMS sowie die relevanten Schnittstellen zu anderen Bereichen (z. B. Datenschutz, physische Sicherheit, Geheimschutz oder Arbeitsschutz) vollständig und wirksam in der Institution zu verankern. Die Sicherheitsorganisation sollte in einem Organigramm oder einer ähnlichen Darstellung zu dokumentiert und abgebildet werden."
}
],
"props": [
{
"name": "alt-identifier",
"value": "56907e29-773a-4339-8166-785b68f9c065"
},
{
"name": "sec_level",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv",
"value": "normal-SdT"
},
{
"name": "effort_level",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv",
"value": "0"
}
],
"title": "Festlegung einer Sicherheitsorganisation"
},
{
"class": "BSI-Methodik-Grundschutz-plus-plus",
"id": "GC.8.1.5",
"parts": [
{
"id": "GC.8.1.5_stm",
"name": "statement",
"props": [
{
"name": "documentation",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv",
"value": "Tätigkeits- & Rollenbeschreibung"
},
{
"name": "result",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv",
"value": "für jeden Rollen- und Verantwortungsträger die erforderlichen Anforderungen und Fähigkeiten"
},
{
"name": "action_word",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv",
"value": "festlegen"
},
{
"name": "modal_verb",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv",
"value": "MUSS"
}
],
"prose": "Governance und Compliance MUSS für jeden Rollen- und Verantwortungsträger die erforderlichen Anforderungen und Fähigkeiten festlegen."
},
{
"id": "GC.8.1.5_gdn",
"name": "guidance",
"prose": "Für jeden Rollen- und Verantwortungsträger sind die Anforderungen und Fähigkeiten festgelegt."
}
],
"props": [
{
"name": "alt-identifier",
"value": "09da6b52-1efc-4c44-98b3-4d9b094fd107"
},
{
"name": "sec_level",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv",
"value": "normal-SdT"
},
{
"name": "effort_level",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv",
"value": "0"
}
],
"title": "Sicherstellung der Qualifikation"
},
{
"class": "BSI-Methodik-Grundschutz-plus-plus",
"id": "GC.8.1.6",
"params": [
{
"id": "gc.8.1.6-prm1",
"label": "hinreichende",
"props": [
{
"name": "alt-identifier",
"value": "b04f2734-0b3f-400f-92cb-08a49fb2960f"
}
]
}
],
"parts": [
{
"id": "GC.8.1.6_stm",
"name": "statement",
"props": [
{
"name": "result",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv",
"value": "dem Informationssicherheitsbeauftragten {{hinreichende}} Ressourcen"
},
{
"name": "action_word",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv",
"value": "zuweisen"
},
{
"name": "modal_verb",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv",
"value": "MUSS"
}
],
"prose": "Governance und Compliance MUSS dem Informationssicherheitsbeauftragten {{ insert: param, gc.8.1.6-prm1 }} Ressourcen zuweisen."
},
{
"id": "GC.8.1.6_gdn",
"name": "guidance",
"prose": "Zu den Aufgaben des ISB gehören beispielsweise die Beratung der Institutionsleitung zur Informationssicherheit, die Koordinierung der Erstellung von Richtlinien und Sicherheitskonzepten und die Untersuchung von Sicherheitsvorfällen. Ohne ausreichende Ressourcen, können diese Aufgaben nicht wirksam und nachhaltig wahrgenommen werden, was zu Sicherheitsrisiken führen kann. In kleinen Institutionen kann die Funktion des ISB auch von einem qualifizierten Mitarbeiter neben anderen Aufgaben wahrgenommen werden. Maßgeblich ist, dass dem ISB ausreichend Zeit für seine Aufgaben zugebilligt wird und er in keinem Interessenskonflikt mit anderen Aufgaben steht."
}
],
"props": [
{
"name": "alt-identifier",
"value": "b04f2734-0b3f-400f-92cb-08a49fb2960f"
},
{
"name": "sec_level",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv",
"value": "normal-SdT"
},
{
"name": "effort_level",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv",
"value": "0"
}
],
"title": "Ressourcen für den Informationssicherheitsbeauftragten"
}
],
"id": "GC.8.1",
"links": [
{
"href": "#GC.6.1.2",
"rel": "related"
}
],
"parts": [
{
"id": "GC.8.1_stm",
"name": "statement",
"props": [
{
"name": "result",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv",
"value": "ein Verfahren zur kontinuierlichen, wirtschaftlichen Planung von Ressourcen für das ISMS"
},
{
"name": "action_word",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv",
"value": "verankern"
},
{
"name": "modal_verb",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv",
"value": "MUSS"
}
],
"prose": "Governance und Compliance MUSS ein Verfahren zur kontinuierlichen, wirtschaftlichen Planung von Ressourcen für das ISMS verankern."
},
{
"id": "GC.8.1_gdn",
"name": "guidance",
"prose": "Die Ressourcenplanung berücksichtigt die personellen, finanziellen und materiellen bzw. technischen Ressourcen."
}
],
"props": [
{
"name": "alt-identifier",
"value": "4378f5ac-3387-408e-974a-b04e5079c372"
},
{
"name": "sec_level",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv",
"value": "normal-SdT"
},
{
"name": "effort_level",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv",
"value": "0"
}
],
"title": "Verfahren zur Ressourcenplanung"
}