Als Beispiel für den Entscheidungsprozess zur Bewertung des Status einer Anforderung sollen nachfolgend einige Anforderungen aus dem Prozess-Baustein ISMS.1 Sicherheitsmanagement und dem System-Baustein SYS.2.1 Allgemeiner Client dienen.

Bewertung als „vollständig umgesetzt“

Der Baustein ISMS.1enthält unter anderem die Basis-Anforderung ISMS.A1: Übernahme der Gesamtverantwortung für Informationssicherheit durch die Leitungsebene mit insgesamt sechs durch das Verb MUSS als verpflichtend gekennzeichneten Teilanforderungen:

„Die Leitungsebene MUSS die Gesamtverantwortung für Informationssicherheit in der Institution übernehmen, sodass dies für alle Beteiligten deutlich erkennbar ist. Die Leitungsebene der Institution MUSS den Sicherheitsprozess initiieren, steuern und kontrollieren. Die Leitungsebene MUSS Informationssicherheit vorleben.

Die Behörden- bzw. Unternehmensleitung MUSS die Zuständigkeiten für Informationssicherheit festlegen und die zuständigen Mitarbeiter mit den erforderlichen Kompetenzen und Ressourcen ausstatten. Die Leitungsebene MUSS sich regelmäßig über den Status der Informationssicherheit informieren lassen, insbesondere MUSS sie sich über mögliche Risiken und Konsequenzen aufgrund fehlender Sicherheitsmaßnahmen informieren lassen.“

Bewertung als „entbehrlich“

Unter Umständen, etwa bei unzureichendem Know-how innerhalb einer Institution, kann es sich für eine Institution anbieten, Sicherheitsaufgaben an einen externen Informationssicherheitsbeauftragten zu delegieren. Dies enthebt sie allerdings nicht ihrer grundsätzlichen Verantwortung für Informationssicherheit. Rechte und Pflichten des externen ISB sind daher vorab festzulegen und vertraglich zu fixieren. In ISMS.1.A5 Vertragsgestaltung bei Bestellung eines externen Informationssicherheitsbeauftragten wird diese Basis-Anforderung näher spezifiziert. Wird die Rolle des ISB durch einen eigenen Mitarbeiter wahrgenommen, ist die Erfüllung dieser Anforderung selbstverständlich entbehrlich.

Bewertung als „teilweise erfüllt“

Der Baustein SYS.2.1 Allgemeiner Client, dessen Anwendung für jede Gruppe von Clients in einem Informationsverbund verbindlich ist, enthält unter anderem die Basis-Anforderung SYS.2.1.A2: Rollentrennung mit Vorgaben für die Beschränkung der Benutzerrechte. Sie lautet wie folgt:

„Der Client MUSS so eingerichtet werden, dass normale Tätigkeiten nicht mit Administrationsrechten erfolgen. Nur Administratoren DÜRFEN Administrationsrechte erhalten. Es DÜRFEN nur Administratoren die Systemkonfiguration ändern, Anwendungen installieren bzw. entfernen oder Systemdateien modifizieren bzw. löschen können. Benutzer DÜRFEN ausschließlich lesenden Zugriff auf Systemdateien haben.

Ablauf, Rahmenbedingungen und Anforderungen an administrative Aufgaben sowie die Aufgabentrennungen zwischen den verschiedenen Rollen der Benutzer des IT-Systems SOLLTEN in einem Benutzer- und Administrationskonzept festgeschrieben werden.“

Wird bei der Überprüfung der Umsetzung dieser Anforderung für eine gegebene Gruppe von Clients festgestellt, dass die IT-Systeme so eingerichtet sind, dass übliche Benutzeraktivitäten nur mit entsprechend eingeschränkten Rechten ausgeübt werden und Systemzugriffe Administratoren vorbehalten sind, so ist zumindest ein Teil der Anforderung erfüllt. Das Fehlen eines expliziten Benutzer- und Administrationskonzepts, ohne dass hierfür ein stichhaltiger Grund vorliegt, führt jedoch zu der Einstufung, dass diese Anforderung nur teilweise erfüllt ist.

Bewertung als „nicht erfüllt“

Die Anforderung SYS.2.1.A2: Rollentrennung des Bausteins SYS.2.1 Allgemeiner Client wäre hingegen nicht erfüllt, wenn zwar ein solches Konzept vorliegt, dieses aber die Vorgaben dieser Basis-Anforderung nur bedingt widerspiegelt, und insbesondere die geprüften Clients deutliche Abweichungen von den verpflichtenden Anforderungen aufweisen.

Es kann Gründe dafür geben, dass einzelne IT-Systeme auch von Benutzern, die ansonsten keine derartigen Berechtigungen haben, mit Administrationsrechten benutzt werden können, beispielsweise weil eine benötigte Spezialsoftware ansonsten nicht funktionieren würde. In diesem Fall müsste das aus der Nichterfüllung dieser Basis-Anforderung resultierende Risiko mit zusätzlichen Maßnahmen begrenzt werden.