1 Motivation und Zielsetzung
Motivation
Die vorliegende DIN-Spezifikation DIN SPEC 27076 [1] ging aus dem Projekt „mIT Standard sicher” („Entwicklung und Verbreitung eines Standards für KMU-geeignete IT-Sicherheitsberatung/KMU SEC”) im Rahmen der vom Bundesministerium für Wirtschaft und Klimaschutz geförderten Initiative „IT-Sicherheit in der Wirtschaft” hervor. Erarbeitung und Verabschiedung wurden durch zahlreiche Personen und Gesellschaften der freien Wirtschaft unterstützt.
Die vorliegende DIN-Spezifikation DIN SPEC 27076 [1] ging aus dem Projekt „mIT Standard sicher” („Entwicklung und Verbreitung eines Standards für KMU-geeignete IT-Sicherheitsberatung/KMU SEC”) im Rahmen der vom Bundesministerium für Wirtschaft und Klimaschutz geförderten Initiative „IT-Sicherheit in der Wirtschaft” hervor. Erarbeitung und Verabschiedung wurden durch zahlreiche Personen und Gesellschaften der freien Wirtschaft unterstützt.
PAS-Verfahren
Das Dokument wurde nach dem PAS-Verfahren erarbeitet (Public Available Specification) und zählt damit nicht zum offiziellen deutschen Normenwerk.
Das Dokument wurde nach dem PAS-Verfahren erarbeitet (Public Available Specification) und zählt damit nicht zum offiziellen deutschen Normenwerk.
Die wesentlichen Unterschiede zu einer DIN-Norm bestehen in folgenden Punkten:
| • | Eine PAS ist eine Übereinkunft unter den Verfassern, wie es eine Norm erfordert. |
| • | Sie ist schneller und kostengünstiger als eine Norm zu verabschieden. Bereits sechs Wochen nach dem Einreichen des endgültigen Textes beim DIN erfolgt die Veröffentlichung. |
| • | Die Verantwortung für den Inhalt der PAS liegt im Unterschied zur Norm nicht beim DIN, sondern bei den Verfassern. |
Die DIN SPEC kann kostenlos über den Beuth-Verlag [1] bezogen werden.
Ziel
Das Ziel dieser DIN SPEC ist es, den Beratungsprozess zwischen IT-Sicherheitsdienstleister und beratenem Unternehmen zu verbessern und somit das IT-Sicherheitsniveau im Mittelstand zu erhöhen.
Das Ziel dieser DIN SPEC ist es, den Beratungsprozess zwischen IT-Sicherheitsdienstleister und beratenem Unternehmen zu verbessern und somit das IT-Sicherheitsniveau im Mittelstand zu erhöhen.
Dafür werden Anforderungen für einen standardisierten Beratungsprozess zur IT- und Informationssicherheit mit Fokus auf der Zielgruppe der kleinen und Kleinstunternehmen („KKU”) festgelegt. Dazu zählen Unternehmen mit bis zu 50 Beschäftigten.
Dieser Zielgruppe ist oftmals der eigene Gefährdungsgrad kaum bekannt und die Sensibilisierung für bestehende Risiken entsprechend gering. Ebenso sind in der Regel kaum eigene Fachressourcen vorhanden, sodass die Unterstützung durch externe Dienstleister im Umfeld von IT und Informationssicherheit eine wesentliche Rolle spielt.
Diese Dienstleister werden durch den Beratungsprozess der DIN SPEC 27076 adressiert, um die KKU zeit- und kosteneffizient auf ein vertretbares Minimum an Informationssicherheit zu heben.
Anspruch
Damit wird auch die Abgrenzung zu gängigen Standards wie dem IT-Grundschutz deutlich, die Anspruch auf eine weitestgehende Vollständigkeit der Anforderungen bezogen auf die behandelten Sicherheitsthemen erheben.
Damit wird auch die Abgrenzung zu gängigen Standards wie dem IT-Grundschutz deutlich, die Anspruch auf eine weitestgehende Vollständigkeit der Anforderungen bezogen auf die behandelten Sicherheitsthemen erheben.
Die DIN SPEC 27076 fokussiert sich stattdessen im Rahmen der dargestellten Beratung auf
| • | die Erhebung des Ist-Zustands des Informationssicherheitsniveaus eines KKU, |
| • | die Nennung eines Risikostatus, |
| • | die Visualisierung des Risikoprofils sowie |
| • | die Nennung verständlicher Handlungsempfehlungen. |
Dies wird erreicht durch Beschränkung auf die für die Zielgruppe relevantesten Anforderungen der IT- bzw. Informationssicherheit, verbunden mit einem Punktesystem, das den individuellen Risikostatus der Unternehmen definiert und auf die zu setzenden Prioritäten aufmerksam macht.