Zum Inhalt

GRASP – Start Guide🔗

Dieser Start Guide führt dich in wenigen Schritten von der ersten Anmeldung bis zur Arbeit im ersten Modul (z. B. ISMS nach ISO 27001 oder BCM).

1. Anmeldung & Rolle verstehen🔗

  1. Melde dich an der GRASP-Instanz deines Unternehmens an\ (in der Regel via Single Sign-On oder Zugangsdaten deines Identity Providers).
  2. Je nach Rolle siehst du unterschiedliche Module und Views.

Wenn du nicht sicher bist, ob deine Rolle korrekt gesetzt ist, wende dich an deine interne GRASP-Administration.

2. Organisation & Inventar prüfen🔗

Bevor du in einem Modul „richtig loslegst“, lohnt sich ein Blick in die geteilten Bereiche:

  • Organisation

  • Sind die relevanten Personen, Teams und Rollen vorhanden?

  • Gibt es Verantwortliche für Informationssicherheit, BCM, Datenschutz, IT-Betrieb?

  • Inventarisierung

  • Sind die wichtigsten Prozesse angelegt?

  • Sind zentrale Systeme/Assets (Hardware, Software, Infrastruktur, Dienstleister, Daten) vorhanden?
  • Sind Abhängigkeiten zwischen Prozessen und Assets gepflegt?

CSV-Import nutzen

Häufig werden Personen, Prozesse und Assets initial per CSV-Import eingespielt.\ Ergänzungen kannst du jederzeit direkt in der Oberfläche anlegen oder anpassen.

3. Anwendungsbereich (Scope) definieren🔗

Als Nächstes legst du fest, welchen Teil der Organisation du in einem Modul betrachten willst.

Beispiele:

  • ISO 27001 nur für die zentrale IT-Plattform
  • BCM nur für kritische Geschäftsprozesse
  • IT-Grundschutz für ein bestimmtes Rechenzentrum

Vorgehen:

  1. Öffne das gewünschte Modul (z. B. ISMS nach ISO 27001).
  2. Wechsle in die Kachel Anwendungsbereich / Scope.
  3. Lege einen neuen Scope an (Name + Beschreibung).
  4. Verknüpfe relevante Prozesse, Infrastruktur, Hardware, Software, Dienstleister, Daten und Personal mit diesem Scope.

Der Scope ist später die Basis für:

  • SOA,
  • SBF,
  • Risikoanalysen,
  • Audits.

4. Modul auswählen und Einstieg finden🔗

ISMS ISO 27001🔗

Empfohlene Reihenfolge:

  1. Implementierungsleitfaden durchgehen und als Checkliste verwenden.

  2. SOA bearbeiten:

  3. anwendbare Controls auswählen,

  4. Begründungen erfassen,
  5. Maßnahmen und Dokumente verknüpfen.
  6. SBF für Prozesse/Assets ermitteln und vererben lassen.

  7. Risikomanagement durchführen:

  8. Risiken konfigurieren,

  9. Risikoanalysen erstellen,
  10. Maßnahmen planen.
  11. Audits vorbereiten und durchführen.

BCM🔗

Empfohlene Reihenfolge:

  1. BIA-Vorfilterung und BIA-Konfiguration durchführen.
  2. BIA-Bewertung für kritische Prozesse.
  3. Soll-/Ist-Vergleich zur Bewertung des Umsetzungsstands.
  4. Strategien & Lösungen, anschließend Übungen & Tests planen.

IT-Grundschutz🔗

Empfohlene Reihenfolge:

  1. Informationsverbund und Scope definieren.
  2. Modellierung mit Sicherheitsbausteinen durchführen.
  3. Anforderungen im Check bearbeiten.
  4. Schutzbedarfsfeststellung & Vererbung durchführen.
  5. Optional: Risikomanagement und Audits wie im ISMS.

5. Maßnahmen und Feststellungen im Blick behalten🔗

Egal in welchem Modul du startest:

  • Maßnahmen und Feststellungen landen im zentralen Bereich\ „Feststellungen & Maßnahmen“.

  • Dort kannst du:

  • nach Verantwortlichen, Status, Fälligkeit oder Modul filtern,

  • dir eine persönliche To-Do-Liste ausgeben lassen,
  • sehen, wo es Handlungsdruck gibt (z. B. überfällige Maßnahmen).

Mit dem optionalen Task-/Kalenderbereich kannst du zusätzlich operative Aufgaben verwalten, z. B. Vorbereitung von Audits oder Notfallübungen.

6. Nächste Schritte🔗

Wenn die ersten Grundlagen stehen, kannst du:

  • das für dich relevante Modul kapitelweise durchgehen,
  • ggf. ein internes Pilotprojekt mit einem klar begrenzten Scope starten,
  • parallel überlegen, ob externe Beratung (z. B. ISB/BCM-Advisory) sinnvoll ist.

Empfehlung

Starte mit einem kleinen, klar abgegrenzten Scope, den du vollständig durch den Prozess bringst.\ Du lernst dabei die Arbeitsweise von GRASP kennen und kannst später schrittweise weitere Bereiche hinzufügen.