Ziel eines jeden Unternehmens sollte es sein, zumindest die in den Grundschutz-Katalogen des Bundesamtes für Sicherheit in der Informationstechnik (BSI) beschriebenen Mindestanforderungen für Unternehmen zu gewährleisten. Im Wesentlichen ist hierfür zuerst die Schutzbedarfsfestellung bezüglich der drei Grundwerte der IT-Sicherheit
Vertraulichkeit
Integrität
Verfügbarkeit
und nachfolgend
die Planung und Durchführung entsprechender Maßnahmen
erforderlich. Die hierbei vorzugsweise anzuwendenden Verfahren werden in den IT-Grundschutzkatalogen des BSI beschrieben.
Sollte sich im Laufe der Durchführung o.g. Maßnahmen zeigen, dass der Schutzbedarf von Teilen des IT-Verbundes bezüglich mindestens einer der drei Grundwerte der IT-Sicherheit entweder hoch oder sehr hoch ist, empfiehlt das BSI, über die in den Katalogen beschriebenen Verfahren hinaus zusätzlich eine so genannte ergänzende Sicherheitsanalyse durchzuführen. Drei Verfahren dieser Analyse sind
die Risikoanalyse
die Differenz-Sicherheitsanalyse
der Penetrationstest
wobei der Aufwand zur Durchführung dieser erweiterten Maßnahmen beträchtlich sein kann. Deshalb sollte die ergänzende Sicherheitsanalyse auch nur dann durchgeführt werden, wenn die Ergebnisse der Schutzbedarfsfestellung erweiterten Aufwand nahelegen.
* (historisch, wird nicht mehr aktualisiert)