Hallo Zusammen,
wir haben nun unsere Organisationsstruktur angelegt und stehen (wieder einmal) vor der Frage, welches Anforderungskompendium wird nutzen bzw. in welcher Reihenfolge.
Unser ursprünglicher Ausgangsgedanke war, dass wir den IT-Grundschutz anwenden und darauf die noch notwendigen spezifischen B3S Bausteine, die im Grundschutz nicht ausreichend ausgeführt wurden.
Wir haben nun jedoch auch von Beispielen gehört, die zuerst den B3S und dann den Grundschutz bzw. die ISO angewendet haben. Was macht hier denn mehr Sinn?
Im B3S werden viele Dinge oberflächlich beschrieben und zusammengefasst, die im Grundschutz sehr viel detaillierter und umfangreicher sind. Weshalb uns es nicht sinnig erscheint, ausschließlich den B3S anzuwenden.
Im B3S werden jedoch keine separaten Maßnahmen zur Verfügung gestellt, die man auch auf andere Bausteine anwenden könnte, zudem sind keine Gefährdungen zugeordnet.
Müssen im B3S überhaupt separate Maßnahmen und Gefährdungen angelegt werden? Bzw. jedes Mal einzeln zugeordnet werden?
Wir haben versucht die definierten Gefährdungen des Anforderungskompendiums auf unsere Modellierung per drag an drop fallen zu lassen, das funktioniert jedoch leider nicht…
Vielen Dank!
