Strukturanalyse: Unterschied zwischen den Versionen
Dirk (Diskussion | Beiträge) KKeine Bearbeitungszusammenfassung |
Dirk (Diskussion | Beiträge) KKeine Bearbeitungszusammenfassung |
||
| Zeile 7: | Zeile 7: | ||
== Einleitung == | == Einleitung == | ||
Die Strukturanalyse ist eine systematische Untersuchung der vorhandenen IT-Infrastruktur. | Die Strukturanalyse ist eine systematische Untersuchung der vorhandenen IT-Infrastruktur. In der Strukturanalyse werden alle für den Informationsverbund relevanten Geschäftsprozesse, Infrastrukturen und IT-Systeme identifiziert und beschrieben. Sie ist damit das übergreifende Rahmendokument des Sicherheitskonzeptsfür den Informationsverbund. | ||
Sie ist das übergreifende Rahmendokument | |||
== Geltungsbereich == | == Geltungsbereich == | ||
| Zeile 23: | Zeile 22: | ||
=== Geschäftsprozesse === | === Geschäftsprozesse === | ||
Ein Geschäftsprozess ist eine systematische Abfolge von Aktivitäten, um ein bestimmtes Geschäftsziel zu erreichen. Die relevanten Geschäftsprozesse des Informationsverbunds sind im folgenden aufgeführt: | |||
==== Kernprozesse ==== | ==== Kernprozesse ==== | ||
Kernprozesse sind die zentralen Prozesse der Organisation, die direkt zur Wertschöpfung beitragen und damit essentiell für das Kerngeschäft sind. Sie stellen die Haupttätigkeiten dar, die die Organisation ausführen muss, um seine Produkte oder Dienstleistungen zu erstellen oder bereitzustellen. | |||
{| class="wikitable" | {| class="wikitable" | ||
|+ Tabelle der Kernprozesse | |+ Tabelle der Kernprozesse | ||
| Zeile 37: | Zeile 37: | ||
==== Hilfsprozesse ==== | ==== Hilfsprozesse ==== | ||
Hilfsprozesse, oder auch Supportprozesse genannt, sind Prozesse, die nicht direkt zur Wertschöpfung beitragen, sondern die Organisation in seiner Tätigkeit unterstützen und optimieren sollen. Sie stellen damit eine indirekte Unterstützung des Kerngeschäfts dar. | |||
{| class="wikitable" | {| class="wikitable" | ||
|+ Tabelle der Hilfsprozesse | |+ Tabelle der Hilfsprozesse | ||
| Zeile 47: | Zeile 47: | ||
==== Schutzbedarf ==== | ==== Schutzbedarf ==== | ||
Der folgende Schutzbedarf wurde im Rahmen einer Schutzbedarfsfeststellung für die genannten Geschäftsprozesse ermittelt: | Eine angemessene Bestimmung des Schutzbedarfs ist wichtig, um die Ressourcen der Organisation effektiv zu nutzen und sicherzustellen, dass die Schutzmaßnahmen den Bedrohungen und Risiken angemessen sind. Der folgende Schutzbedarf wurde im Rahmen einer Schutzbedarfsfeststellung für die genannten Geschäftsprozesse ermittelt: | ||
{| class="wikitable" | {| class="wikitable" | ||
|+ Tabelle des Schutzbedarfs | |+ Tabelle des Schutzbedarfs | ||
| Zeile 63: | Zeile 63: | ||
''Beschreibung des Informationsverbunds und seiner Bestandteile. Welche Organisationseinheiten und Anwendungen der Organisation werden mit diesem Informationsverbund betrachtet?'' | ''Beschreibung des Informationsverbunds und seiner Bestandteile. Welche Organisationseinheiten und Anwendungen der Organisation werden mit diesem Informationsverbund betrachtet?'' | ||
Die folgenden Komponenten sind Bestandteil und Betrachtungsgegenstand dieses Informationsberbunds: | Die folgenden Komponenten sind wesentlich zur Erfüllung der betrachteten Geschäftsprozesse und somit Bestandteil und Betrachtungsgegenstand dieses Informationsberbunds: | ||
* Das ISMS der Organisation | * Das ISMS der Organisation | ||
| Zeile 76: | Zeile 76: | ||
''Beschreibung der Grenzen des Informationsverbunds und der außerhalb des Verbunds liegenden Teile.Zum Beispiel:'' | ''Beschreibung der Grenzen des Informationsverbunds und der außerhalb des Verbunds liegenden Teile.Zum Beispiel:'' | ||
Folgende Komponenten sind nicht Bestandteil des Informationsverbunds und werden hier nicht betrachtet: | Folgende Komponenten sind nicht wesentlicher Bestandteil des Informationsverbunds und werden hier nicht betrachtet: | ||
* Entwicklungs-, Test- und Freigabesysteme (Komponenten die ausschließlich zur Entwicklung, Test und die Freigabe dienen sind abgegrenzt) | * Entwicklungs-, Test- und Freigabesysteme (Komponenten die ausschließlich zur Entwicklung, Test und die Freigabe dienen sind abgegrenzt) | ||
| Zeile 87: | Zeile 87: | ||
''Für abgegrenzte Bereiche muss die Grenze zum Informationsverbund und der Übergang sowie desssen Absicherung beschrieben sein.'' | ''Für abgegrenzte Bereiche muss die Grenze zum Informationsverbund und der Übergang sowie desssen Absicherung beschrieben sein.'' | ||
''Werden | ''Werden elemetare Bestandteile des Informationsverbunds (z.B. ein angemietetes externes Rechenzentrum) abgegrenzt, muss beschrieben sein, wie sichergestellt wird, dass diese Teile gleichermaßem dem festgestellten Schutzbedarf des Informationsverbunds entsprechen (z.B. in Form einer eigenen Zertifizierung, vertraglicher Regelungen und eigener Audits dieser Teile.).'' | ||
=== Vorgehensweise === | === Vorgehensweise === | ||
| Zeile 97: | Zeile 97: | ||
==== Organisationsleitung ==== | ==== Organisationsleitung ==== | ||
Die Organisationsleitung trägt die Gesamtverantwortung für den Informationssicherheit der Organisation und hat klare Ziele für die Informationssicherheit definiert. Diese Leitlinien sind die Basis für alle Maßnahmen in diesem Informationsverbund. | |||
==== Informationssicherheitsbeauftragter ==== | ==== Informationssicherheitsbeauftragter ==== | ||
| Zeile 103: | Zeile 104: | ||
==== Datenschutzbeauftragter ==== | ==== Datenschutzbeauftragter ==== | ||
Die Organisation hat einen Datenschutzbeauftragten (DSB) bestellt. Der DSB ist in der Entwicklung des Informationsverbunds eingebunden und bearbeitet alle Belange des Datenschutzes in einem eigenen DSMS. | Die Organisation hat einen Datenschutzbeauftragten (DSB) bestellt. Der DSB ist in der Entwicklung des Informationsverbunds eingebunden und bearbeitet alle Belange des Datenschutzes in einem eigenen DSMS. | ||
==== weitere Verantwortliche ==== | ==== weitere Verantwortliche ==== | ||
''Ggf. weitere Verantwortlich | ''Ggf. weitere Verantwortlich und ihre Rollen im Informationsverbund.'' | ||
=== Zulieferer / Dienstleister === | === Zulieferer / Dienstleister === | ||
Für spezielle Aufgaben innerhalb des Informationsverbunds, die nicht oder nicht angemessen durch die Organisation selbst erbracht werden können, bedient sich die Organisation externer Zulieferer und Dienstleister. Die folgende Tabelle listet die extern Deinstleister und deren erbrachten Leistungen auf: | |||
{| class="wikitable" | {| class="wikitable" | ||
|+Tabelle der Dienstleister | |+Tabelle der Dienstleister | ||
| Zeile 153: | Zeile 152: | ||
== Standorte == | == Standorte == | ||
In der Organisation wird grundsätzlich der Ansatz des hybriden arbeitens verfolgt. Zentrale Komponenten werden in den jeweiligen Rechenzentren oder Technikräumen betrieben. Mitarbeitende können wahlweise im Büro, zu Hause oder mobil arbeiten. Büroräume werden nur in so weit betrachtet, wie dort besondere administrative Tätigkeiten wie z.B. die Konfiguration von Hardware oder die Entwicklung von Strategien, Anwendungen oder Konfigurationen stattfindet, die aufgrund der dort vorhandenen Hardware-Komponenten oder Audrucke und anderer Unterlagen einen besonderen Schutz bedürfen. Ansonsten werden alle anderen Büroräume und Arbeitsplätze wie mobiles Arbeiten betrachtet und hier nicht gesondert ausgewiesen. | |||
=== Rechenzentren und zentrale Technikräume === | |||
=== Büros === | |||
=== Mobiles Arbeiten === | |||
== Infrastruktur == | == Infrastruktur == | ||
| Zeile 311: | Zeile 317: | ||
=== Systembausteine === | === Systembausteine === | ||
Die Modellierung der Systembausteine ist in der Anlage dokumentiert. | Die Modellierung der Systembausteine ist in den Modellierungsreports in der Anlage dokumentiert. | ||
''Verweis auf Modellierungsdokumentation im ISMS-Tool bzw. anderer Quellen.'' | ''Verweis auf Modellierungsdokumentation im ISMS-Tool bzw. anderer Quellen.'' | ||
Version vom 21. April 2023, 15:35 Uhr
Mustervorlage: "Strukturanalyse"
Einleitung
Die Strukturanalyse ist eine systematische Untersuchung der vorhandenen IT-Infrastruktur. In der Strukturanalyse werden alle für den Informationsverbund relevanten Geschäftsprozesse, Infrastrukturen und IT-Systeme identifiziert und beschrieben. Sie ist damit das übergreifende Rahmendokument des Sicherheitskonzeptsfür den Informationsverbund.
Geltungsbereich
Diese Strukturanalyse gilt für den im Titel benannten und im weiteren beschrieben und abgegrenzten Informationsverbund der Organisation.
Die beschrieben Regelungen sind für alle im Rahmen des definierten Informationsverbunds tätigen Mitarbeitenden verbindlich.
Organisation
Beschreibung der Organisation und ihrer Ziele, des Geschäftsverteilungsplans und der Eingliederung des Informationsverbunds innerhalb der Organisation.
Beschreibung des Informationsverbunds
Im fiolgenden wird der Informationsverbund und seine Abgrenzung innerhalb der Organisation beschrieben:
Geschäftsprozesse
Ein Geschäftsprozess ist eine systematische Abfolge von Aktivitäten, um ein bestimmtes Geschäftsziel zu erreichen. Die relevanten Geschäftsprozesse des Informationsverbunds sind im folgenden aufgeführt:
Kernprozesse
Kernprozesse sind die zentralen Prozesse der Organisation, die direkt zur Wertschöpfung beitragen und damit essentiell für das Kerngeschäft sind. Sie stellen die Haupttätigkeiten dar, die die Organisation ausführen muss, um seine Produkte oder Dienstleistungen zu erstellen oder bereitzustellen.
| Kürzel | Prozessname | Beschreibung | Verantwortlich |
|---|---|---|---|
| KP-1 | Beispiel | Beispiel | Beispiel |
| KP-2 | Beispiel | Beispiel | Beispiel |
Hilfsprozesse
Hilfsprozesse, oder auch Supportprozesse genannt, sind Prozesse, die nicht direkt zur Wertschöpfung beitragen, sondern die Organisation in seiner Tätigkeit unterstützen und optimieren sollen. Sie stellen damit eine indirekte Unterstützung des Kerngeschäfts dar.
| Kürzel | Prozessname | Beschreibung | Verantwortlich |
|---|---|---|---|
| HP-1 | Beispiel | Beispiel | Beispiel |
Schutzbedarf
Eine angemessene Bestimmung des Schutzbedarfs ist wichtig, um die Ressourcen der Organisation effektiv zu nutzen und sicherzustellen, dass die Schutzmaßnahmen den Bedrohungen und Risiken angemessen sind. Der folgende Schutzbedarf wurde im Rahmen einer Schutzbedarfsfeststellung für die genannten Geschäftsprozesse ermittelt:
| Kürzel | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|
| KP-1 | normal | normal | normal |
| KP-2 | hoch | normal | normal |
| HP-1 | normal | normal | hoch |
Betrachtungsgegenstand des Informationsverbund
Beschreibung des Informationsverbunds und seiner Bestandteile. Welche Organisationseinheiten und Anwendungen der Organisation werden mit diesem Informationsverbund betrachtet?
Die folgenden Komponenten sind wesentlich zur Erfüllung der betrachteten Geschäftsprozesse und somit Bestandteil und Betrachtungsgegenstand dieses Informationsberbunds:
- Das ISMS der Organisation
- ...
- ...
- Es sind ausschließlich Produktivsysteme und IT-Systeme mit direktem Einfluß auf die Informationssicherheit der Produktivsysteme Teils dieses Informationsverbunds.
Abgrenzung des Informationsverbund
Beschreibung der Grenzen des Informationsverbunds und der außerhalb des Verbunds liegenden Teile.Zum Beispiel:
Folgende Komponenten sind nicht wesentlicher Bestandteil des Informationsverbunds und werden hier nicht betrachtet:
- Entwicklungs-, Test- und Freigabesysteme (Komponenten die ausschließlich zur Entwicklung, Test und die Freigabe dienen sind abgegrenzt)
- Clientsysteme der Benutzer (alle nicht administrativen Clientsysteme sind über ein Frontendserver abgegrenzt)
- Netzwerkinstrastruktur ausserhalb der Organisation (alle Netzwerke ausserhalb des Informationsverbunds (Internet, Fremdnetze, Bürokommunikationsnetze) werden über ein Sicherheitsgateway abgegrenzt)
- Gebäudeinfrastruktur für extern betriebenes Rechenzentrum (das Rechenzentrum des Dienstleisters in dem der Informationsverbund betrieben wird, ist selbst nach BSI IT-Grundschutz zertifiziert, der Schutzbedarf entspricht dem des Informationsverbunds. Der Betrieb des Rechenzentrums wird damit abgegrenzt)
- Reine Bürokommunikationssysteme wie Telefonie, Drucker, Smartphones und Tablets sind abgegrenzt.
- ...
Für abgegrenzte Bereiche muss die Grenze zum Informationsverbund und der Übergang sowie desssen Absicherung beschrieben sein.
Werden elemetare Bestandteile des Informationsverbunds (z.B. ein angemietetes externes Rechenzentrum) abgegrenzt, muss beschrieben sein, wie sichergestellt wird, dass diese Teile gleichermaßem dem festgestellten Schutzbedarf des Informationsverbunds entsprechen (z.B. in Form einer eigenen Zertifizierung, vertraglicher Regelungen und eigener Audits dieser Teile.).
Vorgehensweise
Die Organisation hat ein Informations-Sicherheits-Management-System (ISMS) nach BSI-Standard 200-1 etabliert.
Vorgehensweise für den vorliegenden Informationsverbund ist die Standardsabsicherung (alternativ: Basisabsicherung oder Kernabsicherung) nach BSI-Standard 200-2.
Verantwortliche
Organisationsleitung
Die Organisationsleitung trägt die Gesamtverantwortung für den Informationssicherheit der Organisation und hat klare Ziele für die Informationssicherheit definiert. Diese Leitlinien sind die Basis für alle Maßnahmen in diesem Informationsverbund.
Informationssicherheitsbeauftragter
Die Organisation hat einen Informationssicherheitsbeauftrauften (ISB) bestellt. Der ISB verfügt über die nötigen Kenntnisse und Ressourcen die für seine Aufgabenerfüllung benötigt werden.
Datenschutzbeauftragter
Die Organisation hat einen Datenschutzbeauftragten (DSB) bestellt. Der DSB ist in der Entwicklung des Informationsverbunds eingebunden und bearbeitet alle Belange des Datenschutzes in einem eigenen DSMS.
weitere Verantwortliche
Ggf. weitere Verantwortlich und ihre Rollen im Informationsverbund.
Zulieferer / Dienstleister
Für spezielle Aufgaben innerhalb des Informationsverbunds, die nicht oder nicht angemessen durch die Organisation selbst erbracht werden können, bedient sich die Organisation externer Zulieferer und Dienstleister. Die folgende Tabelle listet die extern Deinstleister und deren erbrachten Leistungen auf:
| Kürzel | Name | Firma / Anschrift | Beschreibung der Dienstleistung | Verantwortlich |
|---|---|---|---|---|
Übergreifendes Regelwerk
Leitlinie zur Informationssicherheit
Richtlinie zur Lenkung von Dokumenten und Aufzeichnungen
Richtlinie zur Risikoanalyse
Richtlinie zur internen ISMS-Auditierung
Richtlinie zur Lenkung von Korrektur- und Vorbeugungsmaßnahmen
Richtlinie Sicherheitsvorfallmanagement
Standorte
In der Organisation wird grundsätzlich der Ansatz des hybriden arbeitens verfolgt. Zentrale Komponenten werden in den jeweiligen Rechenzentren oder Technikräumen betrieben. Mitarbeitende können wahlweise im Büro, zu Hause oder mobil arbeiten. Büroräume werden nur in so weit betrachtet, wie dort besondere administrative Tätigkeiten wie z.B. die Konfiguration von Hardware oder die Entwicklung von Strategien, Anwendungen oder Konfigurationen stattfindet, die aufgrund der dort vorhandenen Hardware-Komponenten oder Audrucke und anderer Unterlagen einen besonderen Schutz bedürfen. Ansonsten werden alle anderen Büroräume und Arbeitsplätze wie mobiles Arbeiten betrachtet und hier nicht gesondert ausgewiesen.
Rechenzentren und zentrale Technikräume
Büros
Mobiles Arbeiten
Infrastruktur
Netzplan
Komponentenlisten
Gruppierung
Die in den Komponentenlisten enthaltenden Komponenten wurden zu Zielobjekten gruppiert.
Dabei wurden Komponenten zusammengefasst, die
- vom gleichen Typ sind,
- gleich oder nahezu gleich konfiguriert sind,
- gleich oder nahezu gleich in das Netz eingebunden sind,
- gleich oder nahezu gleich administriert werden,
- die gleichen Prozesse oder Anwendungen bedienen und
- den gleichen Schutzbedarf aufweisen.
Die Gruppierung ist anhand der Zuordnung der Zielobjekte in den Komponentenlisten ersichtlich.
Modellierung
Die Modellierung erfolgte auf Grundlage des IT Grundschutz Kompendium in der Edition 2023.
Prozessbausteine
Die Verwendung von Prozessbaustein im Informationsverbund ist in folgender Tabelle beschrieben:
Beschreibung der Verwendung der Prozessbausteine und Begründung für nicht verwendete Bausteine
| Baustein | Verwendung |
|---|---|
| Sicherheitsmanagement | |
| ISMS.1 Sicherheitsmanagement | Der Baustein ist einmalig übergreifend für die gesamte Organisation bearbeitet. |
| Organisation und Personal | |
| ORP.1 Organisation | Der Baustein ist einmalig übergreifend für die gesamte Organisation bearbeitet. |
| ORP.2 Personal | Der Baustein ist einmalig übergreifend für die gesamte Organisation bearbeitet. |
| ORP.3 Sensibilisierung und Schulung zur Informationssicherheit | Der Baustein ist einmalig übergreifend für die gesamte Organisation bearbeitet. |
| ORP.4 Identitäts- und Berechtigungsmanagement | Der Baustein ist einmalig übergreifend für die gesamte Organisation bearbeitet. |
| ORP.5 Compliance Management (Anforderungsmanagement) | Der Baustein ist einmalig übergreifend für die gesamte Organisation bearbeitet. |
| Konzeption und Vorgehensweise | |
| CON.1 Kryptokonzept | Der Baustein ist einmalig übergreifend für die gesamte Organisation bearbeitet. |
| CON.2 Datenschutz | Der Baustein ist einmalig übergreifend für die gesamte Organisation bearbeitet. |
| CON.3 Datensicherungskonzept | Der Baustein ist einmalig übergreifend für die gesamte Organisation bearbeitet. |
| CON.6 Löschen und Vernichten | Der Baustein ist einmalig übergreifend für die gesamte Organisation bearbeitet. |
| CON.7 Informationssicherheit auf Auslandsreisen | Der Baustein ist einmalig übergreifend für die gesamte Organisation bearbeitet. |
| CON.8 Software-Entwicklung | Entbehrlich: In der Organisation wird keine Software entwickelt. Es wird nur Standardsoftware eingesetzt. Ggf. erforderliche Spezialsoftware wird von externen Dienstleistern entwickelt. |
| CON.9 Informationsaustausch | Der Baustein ist einmalig übergreifend für die gesamte Organisation bearbeitet. |
| CON.10 Entwicklung von Webanwendungen | Entbehrlich: In der Organisation werden keine Webanwendungen entwickelt. Es wird nur Standardsoftware eingesetzt. Ggf. erforderliche Spezialanwendungen werden von externen Dienstleistern entwickelt. |
| Con.11.1 Geheimschutz VS-NUR FÜR DEN DIENSTGEBRAUCH (VS-NfD) | Entbehrlich: Die Organisation verarbeitet keine geheimschutzrelevanten Informationen. |
| Betrieb | |
| OPS.1.1.1 Allgemeiner IT-Betrieb | Der Baustein ist einmalig übergreifend für die gesamte Organisation bearbeitet. |
| OPS.1.1.2 Ordnungsgemäße IT-Administration | Der Baustein ist einmalig übergreifend für die gesamte Organisation bearbeitet. |
| OPS.1.1.3 Patch- und Änderungsmanagement | Der Baustein ist einmalig übergreifend für die gesamte Organisation bearbeitet. |
| OPS.1.1.4 Schutz vor Schadprogrammen | Der Baustein ist einmalig übergreifend für die gesamte Organisation bearbeitet. |
| OPS.1.1.5 Protokollierung | Der Baustein ist einmalig übergreifend für die gesamte Organisation bearbeitet. |
| OPS.1.1.6 Software-Tests und -Freigaben | Der Baustein ist einmalig übergreifend für die gesamte Organisation bearbeitet. |
| OPS.1.1.7 Systemmanagement | Der Baustein ist einmalig übergreifend für die gesamte Organisation bearbeitet. |
| OPS.1.2.2 Archivierung | Entbehrlich: Archivierung wird in der Organisation nicht genutzt da es keine rechtlichen Anforderungen gibt. |
| OPS.1.2.4 Telearbeit | Entbehrlich: Telearbeit wird in der Organisation nicht genutzt. Gelegentliches Homeoffice wird über den Baustein INF.9 "Mobiler Arbeitsplatz" abgedeckt. |
| OPS.1.2.5 Fernwartung | Der Baustein ist einmalig übergreifend für die gesamte Organisation bearbeitet. |
| OPS.1.2.6 NTP -Zeitsynchronisation | Der Baustein ist einmalig übergreifend für die gesamte Organisation bearbeitet. |
| OPS.2.2 Cloud-Nutzung | Entbehrlich: Clouddienste werden in der Organisation nicht genutzt. |
| OPS.2.3 Nutzung von Outsourcing | Der Baustein ist einmalig übergreifend für die gesamte Organisation bearbeitet. |
| OPS.3.2 Anbieten von Outsourcing | Entbehrlich: Die Organisation bietet selbst kein Outsourcing an. |
| Detektion und Reaktion | |
| DER.1 Detektion von sicherheitsrelevanten Ereignissen | Der Baustein ist einmalig übergreifend für die gesamte Organisation bearbeitet. |
| DER.2.1 Behandlung von Sicherheitsvorfällen | Der Baustein ist einmalig übergreifend für die gesamte Organisation bearbeitet. |
| DER.2.2 Vorsorge für die IT-Forensik | Der Baustein ist einmalig übergreifend für die gesamte Organisation bearbeitet. |
| DER.2.3 Bereinigung weitreichender Sicherheitsvorfälle | Der Baustein ist einmalig übergreifend für die gesamte Organisation bearbeitet. |
| DER.3.1 Audits und Revisionen | Der Baustein ist einmalig übergreifend für die gesamte Organisation bearbeitet. |
| DER.3.2 Revision auf Basis des Leitfadens IS-Revision | Der Baustein ist einmalig übergreifend für die gesamte Organisation bearbeitet. |
| DER.4 Notfallmanagement | Der Baustein ist einmalig übergreifend für die gesamte Organisation bearbeitet. |
Systembausteine
Die Modellierung der Systembausteine ist in den Modellierungsreports in der Anlage dokumentiert.
Verweis auf Modellierungsdokumentation im ISMS-Tool bzw. anderer Quellen.
Benutzerdefinierste Bausteine
Beschreibung benutzerdefinierter Bausteine falls vorhanden und modelliert.
ansonsten:
Die Infrastruktur der Organisation ist vollständig mit den Bausteinen des Kompendium modellierbar.
Es werden keine benutzerdefinierten Bausteine genutzt.
Anlagen
| Anlage | Titel | Quelle |
|---|---|---|
| Geschäftsverteilungsplan (gesamt) | ||
| Schutzbedarfsfeststellung | ||
| Netzplan (gesamt) | ||
| Liste der IT-Systeme | ||
| Modellierung des Informationsverbund | ||
| Ergebnis des Basissicherheitschecks | ||
| Risikoanalyse | ||
