- BSI-Standard 200-1 stellt systematisches Management vor Einzelmaßnahmen und verankert Informationssicherheit als Führungsaufgabe.
- Die Leitungsebene entscheidet über Risiken, Ressourcen und Ziele der Informationssicherheit und sichert die Einbindung in bestehende Strukturen.
- Honicon gestaltet Prozesse so, dass Vorgaben aus BSI-Standard 200-1, ISO-Normen und Rechtspflichten erfüllt sind und ein ISMS ohne Fremdkörper-Effekt entsteht.
- Jira, Confluence & Assets stützen Nachvollziehbarkeit, Steuerung und Nachweisführung, insbesondere in Behörden und öffentlichen Unternehmen.
BSI-Standard 200-1 beschreibt die Grundordnung für ein Managementsystem für Informationssicherheit. Im Mittelpunkt steht ein systematischer Ansatz: Ein angemessenes Sicherheitsniveau entsteht in erster Linie durch klare Verantwortlichkeiten, nachvollziehbare Prozesse und wiederkehrende Steuerungsschleifen, erst danach durch einzelne technische Maßnahmen. Der Standard orientiert sich an ISO/IEC 27001, nutzt Begriffe aus ISO/IEC 27000 und folgt den Empfehlungen aus ISO/IEC 27002. Für Behörden und öffentlich geprägte Organisationen entsteht so ein Rahmen, der internationale Normen mit deutscher Verwaltungspraxis verbindet.
Was der BSI-Standard 200-1 verlangt
Der Standard richtet den Blick auf die Frage, was ein wirksames Management von Informationssicherheit ausmacht. Ausschlaggebend sind Führungsaufgabe, klare Ziele, strukturierte Planung und ein geregelter Verbesserungsprozess. Informationssicherheit steht nicht isoliert, sondern begleitet wesentliche Geschäftsprozesse und Aufgaben einer Institution.
Kernpunkte des Standards:
Die Leitungsebene verantwortet die Einhaltung gesetzlicher Regelungen und vertraglicher Verpflichtungen. Störungen in kritischen Geschäftsprozessen treffen nicht nur einzelne IT-Komponenten, sondern Leistungsfähigkeit gegenüber Bürgerinnen, Bürgern und Partnern. Informationssicherheit dient in diesem Zusammenhang als Schutzschirm für die Funktionsfähigkeit der gesamten Institution.
Die Leitungsebene trifft Entscheidungen zum Umgang mit Risiken. Grundlage bildet ein strukturierter Überblick über Werte, Schutzbedarf, Bedrohungen und bestehende Maßnahmen. Auf dieser Basis entstehen Sicherheitsziele und eine Sicherheitsstrategie. Der Standard verlangt eine nachvollziehbare Herleitung: Gründe für Risikobehandlung, Risikoakzeptanz oder Priorisierung liegen erkennbar auf dem Tisch.
Sicherheitsziele stehen nicht abstrakt im Raum, sondern führen zu konkreten Maßnahmenpaketen. Der Standard fragt, wie Maßnahmenauswahl und Sicherheitskonzepte zustande kommen. Organisatorische Regeln, Schulungen, technische Schutzmechanismen und Überwachungsfunktionen greifen ineinander. Dokumentation in geeigneter Tiefe bildet die Grundlage für Nachweise gegenüber Aufsicht, Revision und externen Prüfenden.
Ein weiteres zentrales Element betrifft den Erhalt und die Weiterentwicklung des erreichten Sicherheitsniveaus. BSI-Standard 200-1 denkt Informationssicherheit im Zyklus. Planen, Umsetzen, Prüfen, Anpassen – dieser Ablauf prägt alle Ebenen des ISMS. Management-Reviews, interne Audits und ein geregelter Umgang mit Abweichungen sichern die kontinuierliche Verbesserung.
Die Rolle der Leitungsebene
Der Standard betont die besondere Rolle der Leitungsebene. Dort laufen Verantwortung für Rechtskonformität, Vertragserfüllung, Funktionsfähigkeit von Geschäftsprozessen und wirtschaftlichen Ressourceneinsatz zusammen. Informationssicherheit besitzt Schnittstellen zu Personal, Organisation, IT, Beschaffung, Gebäudemanagement und Kommunikation. Nur die Leitung zieht dort eine gemeinsame Linie.
Integration des ISMS in bestehende Strukturen bildet einen Leitgedanken. Informationssicherheit steht nicht neben der Organisation, sondern durchzieht sie. Der Standard fordert eine Einbindung in bereits vorhandene Entscheidungswege, Gremien, Planungsroutinen und Berichtslinien. Informationssicherheitsbeauftragte, Datenschutz, Fachbereiche, IT und Revision benötigen abgestimmte Rollen, keine parallelen Inselstrukturen.
Ressourcenthemen greift der Standard ebenfalls auf. Informationssicherheit kostet Zeit, Personal und Budget. Leitungsebene legt Schwerpunkte fest und verantwortet den wirtschaftlichen Einsatz dieser Mittel. Entscheidungen zu Investitionen, zu zusätzlichem Personal oder zu Projektprioritäten erfolgen nicht im Bauchgefühl, sondern im Licht von Schutzbedarf, Risiken und strategischer Ausrichtung.
Ansatz von Honicon: Prozesse im Mittelpunkt
Honicon arbeitet als kleine IT-Beratungsfirma mit Ursprung in der Prozessberatung. Erfahrung liegt in der Gestaltung und Dokumentation von Abläufen sowie in der Nutzung von Jira, Confluence, Assets und weiteren Bausteinen aus dem Atlassian-Umfeld. Im Team stehen geschulte, als externe ISB zertifizierte Mitarbeitende. Projekte mit Behörden, Zweckverbänden, kommunalen Unternehmen und anderen Organisationen in öffentlicher Trägerschaft prägen das Bild.
Aus diesem Hintergrund entsteht ein klarer Ansatz für die Umsetzung von BSI-Standard 200-1. Ausgangspunkt bildet stets die vorhandene Organisation. Prozesse erhalten eine Form, die Anforderungen aus dem Standard erfüllt und zugleich Effizienz im Blick hält. Ziel lautet: Ein ISMS fügt sich in bestehende Strukturen ein, wirkt nicht wie ein Fremdkörper.
Jira eignet sich als Plattform für Steuerung und Nachvollziehbarkeit. Maßnahmen, Risiken, Ausnahmen, Freigaben und Aufträge laufen dort in definierten Workflows. Verantwortungsträger erscheinen transparent, Fristen liegen sichtbar, Statusberichte entstehen ohne zusätzlichen Schreibaufwand. Confluence dient als Wissens- und Regelwerksspeicher. Sicherheitsleitlinie, Richtlinien, Verfahrensanweisungen, Protokolle aus Sitzungen und Ergebnissammlungen erhalten einen eindeutigen Platz, Versionierung und Berechtigungen bleiben nachvollziehbar. Assets ergänzt diesen Aufbau um strukturierte Informationen zu Systemen, Anwendungen, Schnittstellen, Standorten und Verantwortlichen.
Prozesssicht und Tool-Einsatz greifen ineinander. Wo der Standard eine klare Linie zwischen Planung, Umsetzung, Kontrolle und Verbesserung verlangt, entstehen bei Honicon mit Atlassian-Werkzeugen konkrete Abläufe. Beispielsweise lassen sich Risikoanalysen, Beschlüsse zu Risikoakzeptanz, Folgeaufgaben und Umsetzungsnachweise in einem zusammenhängenden Vorgangsfluss abbilden. Leitungsebene erhält damit Einblick in den Sicherheitsstatus, ohne jede Detailfrage im Einzelnen verfolgen zu müssen.
Praktische Umsetzung für öffentliche Auftraggeber
Behörden und öffentlich geprägte Gesellschaften besitzen eigene Rahmenbedingungen: Haushaltsrecht, Vergabevorgaben, politische Steuerung, Aufsichtsgremien, teils komplexe Trägerstrukturen. Honicon kennt diese Besonderheiten aus Projekten mit Landkreisen, kommunalen IT-Dienstleistern und Betrieben in öffentlicher Eigentümerschaft. Informationssicherheit stößt dort auf Verwaltungsmodernisierung, Digitalisierungsvorgaben, NIS-2, BSIG und KRITIS-Regelungen.
BSI-Standard 200-1 bietet in diesem Umfeld Orientierung. Er beantwortet Fragen nach Erfolgsfaktoren des Managements von Informationssicherheit, nach einer geeigneten Steuerung des Sicherheitsprozesses, nach der Entwicklung von Sicherheitszielen und Strategie, nach der Auswahl von Maßnahmen und nach der Sicherung des erreichten Niveaus. Honicon übersetzt diese Vorgaben in praxisnahe Prozesse und Strukturen.
Leitungsebene erhält klare Entscheidungsgrundlagen, Informationssicherheitsbeauftragte arbeiten mit Werkzeugen, die tägliche Arbeit unterstützen, Fachbereiche sehen Informationssicherheit als Teil ihres normalen Ablaufs. So entsteht Schritt für Schritt ein ISMS im Sinne des BSI-Standards 200-1: führbar, steuerbar, nachweisbar – und zugleich eingebettet in die Realität einer Behörde oder eines öffentlichen Unternehmens.
