What are the main phases of the complete IT-Grundschutz security process, from initiation to operations?
Initiate the security process → create the security concept (structure analysis, protection needs, Grundschutz analysis, supplementary analysis, realization planning) → implement → maintain.
* The full IT-Grundschutz security process — Initiierung → Strukturanalyse → Schutzbedarfsfeststellung → Modellierung → Basis-Sicherheitscheck → Risikoanalyse → Umsetzung → Aufrechterhaltung. *

* Der PDCA-Zyklus (Deming-Kreis) — dasselbe Plan-Do-Check-Act-Muster steckt im Grundschutz-Prozess (Konzept → Umsetzung → Prüfung → Aufrechterhaltung). — Johannes Vietze, CC BY-SA 3.0, via Wikimedia Commons. *
The full process at a glance:
1. Initiierung des IT-Sicherheitsprozesses:
- Create the IT security policy (Sicherheitsleitlinie)
- Establish IT security management (organization, roles)
2. Erstellung des IT-Sicherheitskonzepts — the analytic core:
- IT-Strukturanalyse (capture IT + applications, group them)
- Schutzbedarfsfeststellung (protection needs assessment)
- IT-Grundschutzanalyse (modeling + Basis-Sicherheitscheck with Soll-Ist comparison)
- Ergänzende Sicherheitsanalyse (for high protection needs / additional analysis needs)
- Realisierungsplanung (consolidate measures, implementation plan)
3. Umsetzung: realize missing measures across infrastructure, organization, personnel, technology, communication, emergency preparedness — flanked by awareness and training
4. Aufrechterhaltung im laufenden Betrieb — maintain and continuously improve during operations
Tip: Notice the PDCA pattern hiding inside: Plan (concept) → Do (implementation) → Check (security checks/audits) → Act (maintenance) — the same cycle that drives ISO 27001.
Go deeper:
Online-Kurs IT-Grundschutz: Lektionsübersicht (BSI) — Strukturiert den Gesamtprozess von Initiierung über Strukturanalyse, Modellierung und Check bis zur Aufrechterhaltung.