GC — Governance und Compliance
Die Praktik Governance und Compliance stellt sicher, dass Informationssicherheitsstrategien mit den übergeordneten Zielen der Institution und regulatorischen Anforderungen im Einklang stehen. Sie vereint die strategische Steuerung der Informationssicherheit mit der systematischen Identifikation und Integration externer sowie interner Anforderungen. Diese Praktik definiert den strategischen Rahmen für die Informationssicherheit und beantwortet die Fragen nach dem "Was" und "Warum" von Anforderungen und Sicherheitsmaßnahmen. Sie gewährleistet die Einbindung der obersten Führungsebene in wichtige Entscheidungen zur Informationssicherheit und stellt sicher, dass alle relevanten gesetzlichen, regulatorischen und vertraglichen Vorgaben identifiziert und berücksichtigt werden. Während Governance und Compliance die strategische Ausrichtung und die Anforderungen definiert, übernehmen die operativen Praktiken wie Strukturmodellierung und Umsetzung die konkrete Ausgestaltung.
| ID | Title | Requirement | Level | Sub-controls |
|---|---|---|---|---|
| GC.1.1 | Errichtung und Aufrechterhaltung eines ISMS github-security-controls · GH-GOV-01 +7 | MUSS | normal-SdT |
| ID | Title | Requirement | Level | Sub-controls |
|---|---|---|---|---|
| GC.2.1 | Festlegung des externen Kontextes der Institution | MUSS | normal-SdT | |
| GC.2.2 | Festlegung des internen Kontextes der Institution | MUSS | normal-SdT |
| ID | Title | Requirement | Level | Sub-controls |
|---|---|---|---|---|
| GC.3.1 | Analyse der externen interessierten Parteien | MUSS | normal-SdT | |
| GC.3.2 | Analyse der internen interessierten Parteien | MUSS | normal-SdT |
| ID | Title | Requirement | Level | Sub-controls |
|---|---|---|---|---|
| GC.4.1 | Festlegung des Geltungsbereichs | MUSS | normal-SdT |
| ID | Title | Requirement | Level | Sub-controls |
|---|---|---|---|---|
| GC.5.1 | Vorgehen bei der Infomationssicherheitseinstufung | MUSS | normal-SdT | 3 |
| ID | Title | Requirement | Level | Sub-controls |
|---|---|---|---|---|
| GC.6.1 | Festlegung von Zielen für die Informationssicherheit | MUSS | normal-SdT | 4 |
| ID | Title | Requirement | Level | Sub-controls |
|---|---|---|---|---|
| GC.7.1 | Verfahren und Regelungen | MUSS | normal-SdT | 4 |
| ID | Title | Requirement | Level | Sub-controls |
|---|---|---|---|---|
| GC.8.1 | Verfahren zur Ressourcenplanung | MUSS | normal-SdT | 6 |
| ID | Title | Requirement | Level | Sub-controls |
|---|---|---|---|---|
| GC.9.1 | Festlegung eines Verfahrens zum Kommunikationsmanagement | MUSS | normal-SdT | 3 |
| ID | Title | Requirement | Level | Sub-controls |
|---|---|---|---|---|
| GC.10.1 | Festlegung von Vorgehensweisen | MUSS | normal-SdT | |
| GC.10.2 | Freigabe von Vorgehensweisen | MUSS | normal-SdT |
| ID | Title | Requirement | Level | Sub-controls |
|---|---|---|---|---|
| GC.11.1 | Methodik für das Risikomanagement | MUSS | normal-SdT |