Strukturanalyse

Aus ISMS-Ratgeber WiKi
Zur Navigation springenZur Suche springen

Mustervorlage: "Strukturanalyse"

Einleitung

Die Strukturanalyse ist eine systematische Untersuchung der vorhandenen IT-Infrastruktur. Sie ist das übergreifende Rahmendokument eines Sicherheitskonzepts.

Geltungsbereich

Organisation

Beschreibung der Organisation und ihrer Ziele, des Geschäftsverteilungsplans und der Eingruppierung des Informationsverbunds in der Organisation

Beschreibung des Informationsverbunds

Geschäftsprozesse

Kernprozesse

Text der Überschrift
Kürzel Prozessname Beschreibung Verantwortlich
Beispiel Beispiel Beispiel Beispiel
Beispiel Beispiel Beispiel Beispiel
Beispiel Beispiel Beispiel Beispiel

Hilfsprozesse

Schutzbedarf

Text der Überschrift
Kürzel Vertraulichkeit Integrität Verfügbarkeit
Beispiel Beispiel Beispiel Beispiel
Beispiel Beispiel Beispiel Beispiel
Beispiel Beispiel Beispiel Beispiel

Bestandteile des Informationsverbund

Beschreibung des Informationsverbunds und seiner Bestandteile.

Abgrenzung des Informationsverbund

Beschreibung der Grenzen des Informationsverbunds und der außerhalb des Verbunds liegenden Teile.

Verantwortliche

Organisationsleitung

Informationssicherheitsbeauftragter

Datenschutzbeauftragter

Leitung Rechenzentrum

weitere Verantwortliche

Zulieferer / Dienstleister

Übergreifendes Regelwerk

Leitlinie zur Informationssicherheit

Richtlinie zur Lenkung von Dokumenten und Aufzeichnungen

Richtlinie zur Risikoanalyse

Richtlinie zur internen ISMS-Auditierung

Richtlinie zur Lenkung von Korrektur- und Vorbeugungsmaßnahmen

Richtlinie Sicherheitsvorfallmanagement

Standorte

Infrastruktur

Netzplan

Komponentenlisten

Gruppierung

Die in den Komponentenlisten enthaltenden Komponenten wurden zu Zielobjekten gruppiert.

Dabei wurden Komponenten zusammengefasst, die

  • vom gleichen Typ sind,
  • gleich oder nahezu gleich konfiguriert sind,
  • gleich oder nahezu gleich in das Netz eingebunden sind,
  • gleich oder nahezu gleich administriert werden,
  • die gleichen Prozesse oder Anwendungen bedienen und
  • den gleichen Schutzbedarf aufweisen.

Die Gruppierung ist anhand der Zuordnung der Zielobjekte in den Komponentenlisten ersichtlich.

Modellierung

Die Modellierung erfolgte auf Grundlage des IT Grundschutz Kompendium in der Edition 2023.

Prozessbausteine

Die Verwendung von Prozessbaustein im Informationsverbund ist in folgender Tabelle beschrieben:

Beschreibung der Verwendung der Prozessbausteine und Begründung für nicht verwendete Bausteine

Baustein Verwendung
Sicherheitsmanagement
ISMS.1 Sicherheitsmanagement Der Baustein ist einmalig übergreifend für die gesamte Organisation bearbeitet.
Organisation und Personal
ORP.1 Organisation Der Baustein ist einmalig übergreifend für die gesamte Organisation bearbeitet.
ORP.2 Personal Der Baustein ist einmalig übergreifend für die gesamte Organisation bearbeitet.
ORP.3 Sensibilisierung und Schulung zur Informationssicherheit Der Baustein ist einmalig übergreifend für die gesamte Organisation bearbeitet.
ORP.4 Identitäts- und Berechtigungsmanagement Der Baustein ist einmalig übergreifend für die gesamte Organisation bearbeitet.
ORP.5 Compliance Management (Anforderungsmanagement) Der Baustein ist einmalig übergreifend für die gesamte Organisation bearbeitet.
Konzeption und Vorgehensweise
CON.1 Kryptokonzept Der Baustein ist einmalig übergreifend für die gesamte Organisation bearbeitet.
CON.2 Datenschutz Der Baustein ist einmalig übergreifend für die gesamte Organisation bearbeitet.
CON.3 Datensicherungskonzept Der Baustein ist einmalig übergreifend für die gesamte Organisation bearbeitet.
CON.6 Löschen und Vernichten Der Baustein ist einmalig übergreifend für die gesamte Organisation bearbeitet.
CON.7 Informationssicherheit auf Auslandsreisen Der Baustein ist einmalig übergreifend für die gesamte Organisation bearbeitet.
CON.8 Software-Entwicklung Der Baustein ist entbehrlich, da in der Organisation keine Software entwickelt wird. Es wird nur Standardsoftware eingesetzt. Ggf. erforderliche Spezialsoftware wird von externen Dienstleistern entwickelt.
CON.9 Informationsaustausch Der Baustein ist einmalig übergreifend für die gesamte Organisation bearbeitet.
CON.10 Entwicklung von Webanwendungen Der Baustein ist entbehrlich, da in der Organisation keine Webanwendungen entwickelt werden. Es wird nur Standardsoftware eingesetzt. Ggf. erforderliche Spezialanwendungen werden von externen Dienstleistern entwickelt.
Betrieb
OPS.1.1.2 Ordnungsgemäße IT-Administration Der Baustein ist einmalig übergreifend für die gesamte Organisation bearbeitet.
OPS.1.1.3 Patch- und Änderungsmanagement Der Baustein ist einmalig übergreifend für die gesamte Organisation bearbeitet.
OPS.1.1.4 Schutz vor Schadprogrammen Der Baustein ist einmalig übergreifend für die gesamte Organisation bearbeitet.
OPS.1.1.5 Protokollierung Der Baustein ist einmalig übergreifend für die gesamte Organisation bearbeitet.
OPS.1.1.6 Software-Tests und -Freigaben Der Baustein ist einmalig übergreifend für die gesamte Organisation bearbeitet.
OPS.1.1.7 Systemmanagement Der Baustein ist einmalig übergreifend für die gesamte Organisation bearbeitet.
OPS.1.2.2 Archivierung Entbehrlich: Archivierung wird in der Organisation nicht genutzt da es keine rechtlichen Anforderungen gibt.
OPS.1.2.4 Telearbeit Entbehrlich, da Telearbeit in der Organisation nicht genutzt wird. Gelegentliches Homeoffice wird über den Baustein INF.9 "Mobiler Arbeitsplatz" abgedeckt.
OPS.1.2.5 Fernwartung Der Baustein ist einmalig übergreifend für die gesamte Organisation bearbeitet.
OPS.1.2.6 NTP -Zeitsynchronisation Der Baustein ist einmalig übergreifend für die gesamte Organisation bearbeitet.
OPS.2.1 Outsourcing für Kunden Der Baustein ist einmalig übergreifend für die gesamte Organisation bearbeitet.
OPS.2.2 Cloud-Nutzung Entbehrlich: Clouddienste werden in der Organisation nicht genutzt.
OPS.3.1 Outsourcing für Dienstleister Der Baustein ist einmalig übergreifend für die gesamte Organisation bearbeitet.
Detektion und Reaktion
DER.1 Detektion von sicherheitsrelevanten Ereignissen Der Baustein ist einmalig übergreifend für die gesamte Organisation bearbeitet.
DER.2.1 Behandlung von Sicherheitsvorfällen Der Baustein ist einmalig übergreifend für die gesamte Organisation bearbeitet.
DER.2.2 Vorsorge für die IT-Forensik Der Baustein ist einmalig übergreifend für die gesamte Organisation bearbeitet.
DER.2.3 Bereinigung weitreichender Sicherheitsvorfälle Der Baustein ist einmalig übergreifend für die gesamte Organisation bearbeitet.
DER.3.1 Audits und Revisionen Der Baustein ist einmalig übergreifend für die gesamte Organisation bearbeitet.
DER.3.2 Revision auf Basis des Leitfadens IS-Revision Der Baustein ist einmalig übergreifend für die gesamte Organisation bearbeitet.
DER.4 Notfallmanagement Der Baustein ist einmalig übergreifend für die gesamte Organisation bearbeitet.

Systembausteine

Die Modellierung der Systembausteine ist in der Anlage dokumentiert.

Verweis auf Modellierungsdokumentation im ISMS-Tool bzw. anderer Quellen.

Benutzerdefinierste Bausteine

Beschreibung benutzerdefinierter Bausteine falls vorhanden und modelliert.

ansonsten:

Die Infrastruktur der Organisation ist vollständig mit den Bausteinen des Kompendium modellierbar.
Es werden keine benutzerdefinierten Bausteine genutzt.