Den Umsetzungsgrad der einzelnen Maßnahmen für das jeweilige Zielobjekt ermitteln und dokumentieren Sie beim IT-Grundschutz-Check in Interviews mit den zuständigen Mitarbeitern und Überprüfungen vor Ort, z. B. durch Begehung von Serverräumen oder Kontrolle von Konfigurationseinstellungen.

Die Qualität der Ergebnisse der Interviews und Begehungen hängt auch von einer guten Vorbereitung und der Beachtung einiger Regeln bei der Durchführung ab:

• Zunächst die wichtigste Regel: Die Informationstechnik ändert sich kontinuierlich, sodass regelmäßig geprüft werden muss, ob die eingeführten Sicherheitsmaßnahmen noch einen angemessenen Schutz bieten. Aus diesem Grund wird das IT-Grundschutz-Kompendium fortlaufend angepasst und um neue Bausteine ergänzt. Benutzen Sie bitte für den IT-Grundschutz-Check die aktuelle Version des IT-Grundschutz-Kompendiums, da nur diese eine dem Stand der Technik entsprechende Sicherheit unterstützt.
• Die vorhandenen Dokumente über sicherheitsrelevante Abläufe, Regelungen und Sachverhalte enthalten bereits viele Informationen, die Ihnen bei der Ermittlung des Erfüllungsgrads der Anforderungen helfen können. Sichten Sie diese Papiere daher bereits vorab.
• Wählen Sie geeignete Ansprechpartner aus. Klären Sie in diesem Zusammenhang auch, ob externe Stellen hinzuzuziehen sind, z. B. Fremdfirmen, an die Teilaufgaben des Informationsverbundes delegiert wurden. Ansprechpartner ergeben sich direkt aus den im BS genannten Rollen sowie oft aus dem sachlichen Zusammenhang: So können Mitarbeiter der Personalabteilung oder Benutzerbetreuer gute Ansprechpartner für den Baustein Personal sein, während es sich anbietet, für die Systembausteine zu Netzen, IT-Systemen oder Anwendungen die jeweils zuständigen Administratoren und Anwendungsbetreuer zu befragen.
• Vier Augen und Ohren sehen und hören mehr als zwei. Führen Sie die Interviews nach Möglichkeit daher nicht alleine durch. Es empfiehlt sich eine Arbeitsteilung: Einer führt das Gespräch und stellt die Fragen, ein anderer protokolliert die Ergebnisse.
• Selbstverständlich sollten Sie bei der Befragung den Inhalt der Anforderungsbeschreibungen sowie die zugehörigen Umsetzungsempfehlungen kennen. Gegebenenfalls können stichpunktartige Zusammenfassungen zu einzelnen Anforderungen sowie möglichen Maßnahmen, mit denen sie erfüllt werden können, nützlich sein.
• Zuletzt noch ein ebenso selbstverständlicher Hinweis: Der IT-Grundschutz-Check ist eine Chance, die Informationssicherheit zu verbessern, und kein Verhör. Sorgen Sie daher für ein entspanntes Klima und zwar sowohl beim Gespräch als auch bei Begehungen und Überprüfungen vor Ort.