Der Aufbau der Sicherheitsorganisation und der Sicherheitsprozesse ist eine notwendige Aufgabe, vor der heute jede Behörde und alle modernen Unternehmen stehen. Aufgrund der Komplexität der Aufgabe ist es hilfreich, hier auf anerkannte und erprobte Unterlagen und Vorgehensweisen zurückzugreifen.

Der IT Grundschutz des deutschen Bundesamtes für Sicherheit in der Informationstechnik (BSI) ist ein solches Standardwerk, unter dessen Zuhilfenahme ein klar umrissenes Sicherheitsniveau durch eine Organisation erlangt werden kann. Neben den IT Grundschutzkatalogen sind für die Organisation der Informationssicherheit folgende Regelwerke sehr wichtig:

• BSI-Grundschutzkataloge
• BSI-Standard 100-1 (Managementsysteme für Informationssicherheit)
• BSI-Standard 100-2 (Vorgehensweise nach IT-Grundschutz)
• BSI-Standard 100-3 (Risikoanalyse auf der Basis von IT-Grundschutz)
• BSI-Standard 100-4 (Notfallmanagement)

Mit diesen Methodenwerken wird gleichzeitig ein Vorgehensmodell adaptiert, das wie folgt aussieht:





Bei der Erarbeitung des Sicherheitsniveaus sind sehr konkret vorgegebenen Maßnahmen anhand der jeweils vorliegenden Gefährdungen umzusetzen, die über folgendes Schichtenmodell strukturiert sind:




Das Ergebnis dieser Arbeiten kann durch einen BSI-lizenzierten Auditor geprüft und beim BSI für eine Zertifikatserteilung eingereicht werden.