Strukturanalyse

Aus ISMS-Ratgeber WiKi
Version vom 22. August 2024, 18:29 Uhr von Dirk (Diskussion | Beiträge) (→‎Beschreibung der Organisation)
(Unterschied) ← Nächstältere Version | Aktuelle Version (Unterschied) | Nächstjüngere Version → (Unterschied)
Zur Navigation springenZur Suche springen


Die Strukturanalyse ist eine systematische Untersuchung der vorhandenen IT-Infrastruktur. In der Strukturanalyse werden alle für den Informationsverbund relevanten Geschäftsprozesse, Infrastrukturen und IT-Systeme identifiziert und beschrieben. Sie ist damit das übergreifende Rahmendokument des Sicherheitskonzepts für den Informationsverbund.

Geltungsbereich

Diese Strukturanalyse gilt für den im Titel genannten und im Folgenden beschriebenen und abgegrenzten Informationsverbund der Organisation.

Die beschriebenen Regelungen sind für alle Mitarbeitenden, die im Rahmen des definierten Informationsverbundes tätig sind, verbindlich.

Allgemeines

Beschreibung der Organisation und ihrer Ziele, des Geschäftsverteilungsplans.

Beschreibung der Organisation

Beschreibung der Organisation und ihrer Standorte im Allgemeinen

Rechtliche Rahmenbedingungen

Mögliche rechtliche Rahmenbedingungen sind im Artikel Rechtsgrundlagen aufgelistet.

Geschäftsfeld

Beschreibung des Tätigkeitsbereichs der Organisation (Was macht die Organisation wo ist ihr Kerngeschäft?)

Organisationsplan

Dastellung des Geschäftsverteilungsplans der Organisation (Organigramm)

Beschreibung des Informationsverbunds

Im folgenden wird der Informationsverbund und seine Abgrenzung innerhalb der Organisation beschrieben:

Beschreibung des Informationsverbunds

Kurze Beschreibung des Informationsverbunds, was macht den Informationsverbund aus, welchen Zweck er erfüllt, welche Anwendungen er bedient, welche Nutzergruppen er bedient ...

Eingliederung des Informationsverbunds

Darstellung des Informationsverbunds innerhalb der Organisation (Organisationsübergreifender Verbund oder in welcher Abteilung innerhalb der Organisation).

Geschäftsprozesse

Ein Geschäftsprozess ist eine systematische Abfolge von Aktivitäten, um ein bestimmtes Geschäftsziel zu erreichen. Die relevanten Geschäftsprozesse des Informationsverbunds sind im folgenden aufgeführt:

Kernprozesse

Kernprozesse sind die zentralen Prozesse der Organisation, die direkt zur Wertschöpfung beitragen und damit essentiell für das Kerngeschäft sind. Sie stellen die Haupttätigkeiten dar, die die Organisation ausführen muss, um seine Produkte oder Dienstleistungen zu erstellen oder bereitzustellen.

Tabelle der Kernprozesse
Kürzel Prozessname Beschreibung Verantwortlich
KP-1 Beispiel Beispiel Beispiel
KP-2 Beispiel Beispiel Beispiel

Hilfsprozesse

Hilfsprozesse, oder auch Supportprozesse genannt, sind Prozesse, die nicht direkt zur Wertschöpfung beitragen, sondern die Organisation in seiner Tätigkeit unterstützen und optimieren sollen. Sie stellen damit eine indirekte Unterstützung des Kerngeschäfts dar.

Tabelle der Hilfsprozesse
Kürzel Prozessname Beschreibung Verantwortlich
HP-1 Beispiel Beispiel Beispiel

Schutzbedarf

Eine angemessene Bestimmung des Schutzbedarfs ist wichtig, um die Ressourcen der Organisation effektiv zu nutzen und sicherzustellen, dass die Schutzmaßnahmen den Bedrohungen und Risiken angemessen sind. Der folgende Schutzbedarf wurde im Rahmen einer Schutzbedarfsfeststellung (siehe Anlage A2) für die genannten Geschäftsprozesse ermittelt:

Tabelle des Schutzbedarfs
Prozess Vertraulichkeit Integrität Verfügbarkeit
KP-1 normal normal normal
KP-2 hoch normal normal
HP-1 normal normal hoch

Bestandteile des Informationsverbund

Beschreibung der Bestandteile des Informationsverbunds. Welche Organisationseinheiten, Anwendungen, Server, Clients, Netzbereiche der Organisation werden in diesem Informationsverbund betrachtet?

Die folgenden Komponenten sind für die Erfüllung der betrachteten Geschäftsprozesse wesentlich und somit Bestandteil und Betrachtungsgegenstand dieses Informationsverbundes:

  • Das ISMS der Organisation
  • ...
  • ...
  • Zu diesem Informationsverbund gehören nur Produktivsysteme und IT-Systeme, die einen direkten Einfluss auf die Informationssicherheit der Produktivsysteme haben.

Alle Komponenten des Informationsverbunds sind in den Komponentenlisten der Anlage A1 aufgeführt.

Abgrenzung des Informationsverbund

Beschreibung der Grenzen des Informationsverbunds und der außerhalb des Verbunds liegenden Teile.Zum Beispiel:

  • Entwicklungs-, Test- und Freigabesysteme (Komponenten, die ausschließlich der Entwicklung, dem Test und der Freigabe dienen, werden abgegrenzt)
  • Client-Systeme der Benutzer (alle nicht-administrativen Client-Systeme werden über einen Frontend-Server abgegrenzt)
  • Netzinfrastruktur außerhalb der Organisation (alle Netze außerhalb des Informationsverbundes (Internet, Fremdnetze, Bürokommunikationsnetze) sind über ein Security-Gateway abgegrenzt)
  • Gebäudeinfrastruktur für extern betriebenes Rechenzentrum (Das Rechenzentrum des Dienstleisters, in dem der Informationsverbund betrieben wird, ist selbst nach BSI IT-Grundschutz zertifiziert, der Schutzbedarf entspricht dem des Informationsverbundes. Damit ist der Rechenzentrumsbetrieb abgegrenzt)
  • Reine Bürokommunikationssysteme wie Telefonie, Drucker, Smartphones und Tablets sind abgegrenzt.
  • ...

Für abgegrenzte Bereiche muss die Grenze zum Informationsverbund und ggf. der Übergang sowie desssen Absicherung beschrieben sein.

Werden elemetare Bestandteile des Informationsverbunds (z.B. ein angemietetes externes Rechenzentrum) abgegrenzt, muss beschrieben sein, wie sichergestellt wird, dass diese Teile gleichermaßem dem festgestellten Schutzbedarf des Informationsverbunds entsprechen (z.B. in Form einer eigenen Zertifizierung, vertraglicher Regelungen und eigener Audits dieser Teile.).

Aufbau des ISMS

Die Organisation betreibt ihr Informationssicherheits-Managementsystem (ISMS) gemäß BSI-Standard 200-1.

Kurze Beschreibung der Struktur und Organisation des ISMS (Ziele des ISMS, Organigramm des Sicherheitsmanagements).

Vorgehensweise

Für den vorliegenden Informationsverbund wird die Standardabsicherung (alternativ: Basisabsicherung oder Kernabsicherung) nach BSI-Standard 200-2 angewendet.

Verantwortliche

Organisationsleitung

Die Leitung der Organisation trägt die Gesamtverantwortung für die Informationssicherheit der Organisation und hat klare Ziele für die Informationssicherheit definiert. Diese Leitlinien bilden die Grundlage für alle Maßnahmen im Informationsverbund. Die übergreifenden Aufgaben der Leitung bestehen im Wesentlichen darin:

  • Festlegung von messbaren Sicherheitszielen
  • Verantwortlichkeiten zu delegieren
  • Ressourcen bereitzustellen
  • Sicherheitskultur in der Organisation zu fördern
  • Bewertung der Risiken für die Organisation
  • Compliance und Rechenschaftspflicht erfüllen
  • Überwachung und Bewertung der Zielerreichung

Informationssicherheitsbeauftragter

Die Organisation hat einen Informationssicherheitsbeauftragten (ISB) ernannt.

Der Informationssicherheitsbeauftragte ist für den Aufbau und die Koordination des ISMS verantwortlich und untersteht als Stabsstelle direkt der Organisationsleitung.

Seine Aufgaben sind u.a.:

  • Berichterstattung und Beratung der Leitung zu Belangen der Informationssicherheit
  • Koordination der Schulungen und Sensibilisierung der Mitarbeitenden zur Informationssicherheit
  • Entwicklung und Fortschreibung der Sicherheitskonzeption der Organisation
  • Begleitung und Auswertung von Sicherheitsvorfällen
  • Begleitung der Einführung neuer Verfahren und Anwendungen

Der ISB verfügt über die zur Erfüllung seiner Aufgaben notwendigen Kenntnisse und Ressourcen.

Datenschutzbeauftragter

Die Organisation hat einen Datenschutzbeauftragten (DSB) bestellt. Der DSB ist in die Entwicklung des Informationsverbundes eingebunden und bearbeitet alle Fragen des Datenschutzes in einem eigenen DSMS.

weitere Verantwortliche

Ggf. weitere Verantwortlich und ihre Rollen für die Informationssicherheit im Informationsverbund.

Übergreifendes Regelwerk

Das relevante organisatorische Regelwerk der Organisation ist in Anlage A0 enthalten. Die grundlegensten Richtlinien sind hier kurz zusammengefasst:

Leitlinie zur Informationssicherheit

Die Informationssicherheits-Leitlinie gewährleistet die Vertraulichkeit, Integrität und Verfügbarkeit der Informationen. Sie basiert auf den BSI-Standards 200.x und regelt Verantwortlichkeiten, übergreifende Maßnahmen, den Umgang mit Sicherheitsvorfälle und die Förderung von Sicherheitsbewusstsein. (siehe Anlage A0.1)

Richtlinie zur Risikoanalyse

Die Richtlinie zur Risikoanalyse definiert den Prozess zur Identifizierung, Bewertung und Bewältigung von Risiken in der Organisation. Sie legt die Methoden, Werkzeuge und Verantwortlichkeiten fest, um potenzielle Bedrohungen zu erkennen, ihre Auswirkungen zu bewerten und angemessene Gegenmaßnahmen zu entwickeln. Das Ziel dieser Richtlinie ist es, die Risiken zu minimieren, die Sicherheit zu stärken und die Resilienz der Organisation gegenüber möglichen Gefahren zu verbessern. (siehe Anlage A0.2)

Richtlinie zur Lenkung von Dokumenten und Aufzeichnungen

Die Richtlinie zur Lenkung von Dokumenten regelt die Verfahren und Zuständigkeiten für die Erstellung, Überprüfung, Freigabe und Archivierung von Dokumenten, um die Konsistenz, Aktualität und Compliance der Dokumente und Aufzeichnungen sicherzustellen. (siehe Anlage A0.3)

Richtlinie zur internen ISMS-Auditierung

Die Richtlinie zur internen ISMS-Auditierung legt die Verfahren und Richtlinien fest, um regelmäßige interne Audits des Informationssicherheitsmanagementsystems (ISMS) durchzuführen. Sie beschreibt den Prozess, wie die Überprüfung der ISMS-Konformität, Effektivität und Effizienz erfolgt, um sicherzustellen, dass die Sicherheitsziele erreicht und die Anforderungen erfüllt werden. Das Ziel der internen ISMS-Auditierung ist es, potenzielle Schwachstellen und Verbesserungsmöglichkeiten zu identifizieren, um eine kontinuierliche Weiterentwicklung und Anpassung des ISMS zu gewährleisten und so die Informationssicherheit im Unternehmen zu stärken. (siehe Anlage A0.4)

Richtlinie zur Lenkung von Korrektur- und Vorbeugungsmaßnahmen

Die Richtlinie zur Lenkung von Korrektur- und Vorbeugungsmaßnahmen definiert den Prozess zur systematischen Identifizierung, Bewertung und Umsetzung von Maßnahmen, um erkannte Probleme zu korrigieren und zukünftige Vorfälle zu verhindern. Sie legt fest, wie Abweichungen, Sicherheitsvorfälle oder Verbesserungspotenziale erfasst, analysiert und behoben werden. Das Ziel dieser Richtlinie ist es, die Effizienz und Qualität im Unternehmen zu steigern, Risiken zu minimieren und die kontinuierliche Verbesserung im Hinblick auf Sicherheit und Prozesse zu fördern. (siehe Anlage A0.5)

Zulieferer / Dienstleister

Für spezielle Aufgaben innerhalb des Informationsverbunds, die nicht oder nicht angemessen durch die Organisation selbst erbracht werden können, bedient sich die Organisation externer Zulieferer und Dienstleister. Die folgende Tabelle listet die externen Dienstleister und die von ihnen erbrachten Leistungen auf:

Tabelle der Dienstleister
Kürzel Name Firma / Anschrift Beschreibung der Dienstleistung Vertrag/SLA Verantwortlich
DL-1 Teledings Kabelweg 712345 Web Bereitstellung des Internetzugangs der Organisation Vertragsnummer 0815 vom 1.2.2001 RZ-Leitung

Standorte

In der Organisation wird grundsätzlich der Ansatz des hybriden arbeitens verfolgt. Zentrale Komponenten werden in den jeweiligen Rechenzentren oder Technikräumen betrieben. Mitarbeitende können wahlweise im Büro, zu Hause oder mobil arbeiten. Büroräume werden nur insoweit betrachtet, als dort besondere administrative Tätigkeiten wie die Konfiguration von Hardware oder die Entwicklung von Strategien, Anwendungen oder Konfigurationen stattfinden, die aufgrund der dort vorhandenen Hardwarekomponenten oder Ausdrucke und sonstigen Unterlagen eines besonderen Schutzes bedürfen. Ansonsten werden alle anderen Büroräume und Arbeitsplätze als mobiles Arbeiten betrachtet und hier nicht gesondert aufgeführt.

Standorte der Organisation

Kürzel Bezeichnung Adresse Verantwortlich
G-1 Hauptgebäude
G-2 Nebengebäude

Rechenzentren und zentrale Technikräume

Kürzel Bezeichnung Adresse Art Verantwortlich
RZ-1 Rechenzentrum am Hauptstandort G-1 Rechenzentrum N.N.
TR-1 Raum für Technische Infrastruktur im Nebengebäude G-2 Technikraum N.N.

Büros

Kürzel Bezeichnung Beschreibung Verantwortlich
BR-1 Allgemeines Büro Alle Standorte sowie ggf. Coworking Spaces der Organisation N.N.
BR-2 Admin Büro Büros für Admins im RZ-1 mit direkter Anbindung an das Admin-Netz. N.N.
BR-3 Rollout Büro Büro für Rollout-Team zur Konfiguration von Netzwerk-Komponenten und Clients. N.N.

Mobiles Arbeiten

In der Organisation wird grundsätzlich der Ansatz des hybriden Arbeitens verfolgt. Alle betroffenen mobilen Clients werden unter dem Kürzel "MA" und der Bezeichnung "Mobiler Arbeitsplatz" zusammengefasst, diese sind keinem festen Standort zugeordnet. Mobiles Arbeiten kann sowohl in einem freien Büroraum am Standort, in Coworking Spaces, im Homeoffice des Mitarbeitenden, an einem beliebigen anderen Arbeitsplatz oder unterwegs erfolgen, sofern dies den Regelungen der Organisation zum mobilen Arbeiten entspricht.

Infrastruktur

Netzplan

Hier den bereinigten (reduzierten) Netzplan kurz beschreiben und als Abbildung (ggf. nur Übersicht) einfügen oder auf Anlagen verweisen.

Komponentenlisten

Alle Komponenten des Informationsverbunds sind in den Komponentenlisten der Anlage A1 aufgeführt.

Gruppierung

Die in den Komponentenlisten enthaltenden Komponenten wurden zu Zielobjekten gruppiert.

Dabei wurden Komponenten zusammengefasst, die

  • vom gleichen Typ sind,
  • gleich oder nahezu gleich konfiguriert sind,
  • gleich oder nahezu gleich in das Netz eingebunden sind,
  • gleich oder nahezu gleich administriert werden,
  • die gleichen Prozesse oder Anwendungen bedienen und
  • den gleichen Schutzbedarf aufweisen.

Die Gruppierung ist anhand der Zuordnung der Zielobjekte in den Komponentenlisten (siehe Anlage A1) ersichtlich.

Modellierung

Die Modellierung erfolgte auf Grundlage des IT Grundschutz Kompendium des BSI in der Edition 2023.

Prozessbausteine

Die Verwendung von Prozessbaustein im Informationsverbund ist in folgender Tabelle beschrieben:

Beschreibung der Verwendung der Prozessbausteine und Begründung für nicht verwendete Bausteine

Baustein Verwendung
Sicherheitsmanagement
ISMS.1 Sicherheitsmanagement Der Baustein ist einmalig übergreifend für die gesamte Organisation bearbeitet.
Organisation und Personal
ORP.1 Organisation Der Baustein ist einmalig übergreifend für die gesamte Organisation bearbeitet.
ORP.2 Personal Der Baustein ist einmalig übergreifend für die gesamte Organisation bearbeitet.
ORP.3 Sensibilisierung und Schulung zur Informationssicherheit Der Baustein ist einmalig übergreifend für die gesamte Organisation bearbeitet.
ORP.4 Identitäts- und Berechtigungsmanagement Der Baustein ist einmalig übergreifend für die gesamte Organisation bearbeitet.
ORP.5 Compliance Management (Anforderungsmanagement) Der Baustein ist einmalig übergreifend für die gesamte Organisation bearbeitet.
Konzeption und Vorgehensweise
CON.1 Kryptokonzept Der Baustein ist einmalig übergreifend für die gesamte Organisation bearbeitet.
CON.2 Datenschutz Der Baustein ist einmalig übergreifend für die gesamte Organisation bearbeitet.
CON.3 Datensicherungskonzept Der Baustein ist einmalig übergreifend für die gesamte Organisation bearbeitet.
CON.6 Löschen und Vernichten Der Baustein ist einmalig übergreifend für die gesamte Organisation bearbeitet.
CON.7 Informationssicherheit auf Auslandsreisen Der Baustein ist einmalig übergreifend für die gesamte Organisation bearbeitet.
CON.8 Software-Entwicklung Entbehrlich: In der Organisation wird keine Software entwickelt. Es wird nur Standardsoftware eingesetzt. Ggf. erforderliche Spezialsoftware wird von externen Dienstleistern entwickelt.
CON.9 Informationsaustausch Der Baustein ist einmalig übergreifend für die gesamte Organisation bearbeitet.
CON.10 Entwicklung von Webanwendungen Entbehrlich: In der Organisation werden keine Webanwendungen entwickelt. Es wird nur Standardsoftware eingesetzt. Ggf. erforderliche Spezialanwendungen werden von externen Dienstleistern entwickelt.
Con.11.1 Geheimschutz VS-NUR FÜR DEN DIENSTGEBRAUCH (VS-NfD) Entbehrlich: Die Organisation verarbeitet keine geheimschutzrelevanten Informationen.
Betrieb
OPS.1.1.1 Allgemeiner IT-Betrieb Der Baustein ist einmalig übergreifend für die gesamte Organisation bearbeitet.
OPS.1.1.2 Ordnungsgemäße IT-Administration Der Baustein ist einmalig übergreifend für die gesamte Organisation bearbeitet.
OPS.1.1.3 Patch- und Änderungsmanagement Der Baustein ist einmalig übergreifend für die gesamte Organisation bearbeitet.
OPS.1.1.4 Schutz vor Schadprogrammen Der Baustein ist einmalig übergreifend für die gesamte Organisation bearbeitet.
OPS.1.1.5 Protokollierung Der Baustein ist einmalig übergreifend für die gesamte Organisation bearbeitet.
OPS.1.1.6 Software-Tests und -Freigaben Der Baustein ist einmalig übergreifend für die gesamte Organisation bearbeitet.
OPS.1.1.7 Systemmanagement Der Baustein ist einmalig übergreifend für die gesamte Organisation bearbeitet.
OPS.1.2.2 Archivierung Entbehrlich: Archivierung wird in der Organisation nicht genutzt da es keine rechtlichen Anforderungen gibt.
OPS.1.2.4 Telearbeit Entbehrlich: Telearbeit wird in der Organisation nicht genutzt. Gelegentliches Homeoffice wird über den Baustein INF.9 "Mobiler Arbeitsplatz" abgedeckt.
OPS.1.2.5 Fernwartung Der Baustein ist einmalig übergreifend für die gesamte Organisation bearbeitet.
OPS.1.2.6 NTP -Zeitsynchronisation Der Baustein ist einmalig übergreifend für die gesamte Organisation bearbeitet.
OPS.2.2 Cloud-Nutzung Entbehrlich: Clouddienste werden in der Organisation nicht genutzt.
OPS.2.3 Nutzung von Outsourcing Der Baustein ist einmalig übergreifend für die gesamte Organisation bearbeitet.
OPS.3.2 Anbieten von Outsourcing Entbehrlich: Die Organisation bietet selbst kein Outsourcing an.
Detektion und Reaktion
DER.1 Detektion von sicherheitsrelevanten Ereignissen Der Baustein ist einmalig übergreifend für die gesamte Organisation bearbeitet.
DER.2.1 Behandlung von Sicherheitsvorfällen Der Baustein ist einmalig übergreifend für die gesamte Organisation bearbeitet.
DER.2.2 Vorsorge für die IT-Forensik Der Baustein ist einmalig übergreifend für die gesamte Organisation bearbeitet.
DER.2.3 Bereinigung weitreichender Sicherheitsvorfälle Der Baustein ist einmalig übergreifend für die gesamte Organisation bearbeitet.
DER.3.1 Audits und Revisionen Der Baustein ist einmalig übergreifend für die gesamte Organisation bearbeitet.
DER.3.2 Revision auf Basis des Leitfadens IS-Revision Der Baustein ist einmalig übergreifend für die gesamte Organisation bearbeitet.
DER.4 Notfallmanagement Der Baustein ist einmalig übergreifend für die gesamte Organisation bearbeitet.


Systembausteine

Verweis auf Modellierungsdokumentation im ISMS-Tool bzw. anderer Quellen.

Die Modellierung der Systembausteine ist in den Modellierungsreports in der Anlage A3 dokumentiert.

Benutzerdefinierste Bausteine

Beschreibung benutzerdefinierter Bausteine falls vorhanden und modelliert.

ansonsten:

Die Infrastruktur der Organisation ist vollständig mit den Bausteinen des verwendeten Grundschutz Kompendium modellierbar.
Es werden keine benutzerdefinierten Bausteine genutzt.

Abhängigkeiten

Darstellung der Abhängigkeiten der Prozesse von den Anwendungen, der Anwendungen von den IT-Systemen und den Netzwerkkomponenten.

Die Abhängigkeiten der Zielobjekte sind im Bericht in Anlage A2.3 dargestellt.

Risikoanalyse

Für den Informationsverbund wurde eine Risikoanalyse aufgrund (nichtzutreffendes streichen)

  • des erhöhten Schutzbedarf für die Prozesse (Liste der Prozesskürzel)
  • der besonderen Anwendungsszenarien (Beschreibung)
  • der eingeschränkten Modellierbarkeit der Komponenten (Auflistung)
  • von nicht oder nur teilweise umgesetzter Anforderungen

durchgeführt. Die Risikoanalysen sind in der Anlage A5 dokumentiert.

oder

Aufgrund des normalen Schutzbedarfs und keiner besonderen Anwendungszenarien, sowie der vollständigen Modellierbarkeit aller Komponenten wurde keine Risikoanalyse durchgeführt.

Anlagen

Tabelle Liste der Anlagen
Anlage Titel Quelle
A0 Regelwerk der Organisation
A0.1 Leitlinie zur Informationssicherheit Informationssicherheitsleitlinie
A0.2 Richtlinie zur Risikoanalyse RiLi-Risikoanalyse
A0.3 Richtlinie zur Lenkung von Dokumenten RiLi-Dokumentenlenkung
A0.4 Richtlinie zur internen ISMS Auditierung RiLi-InterneAuditierung
A0.5 Richtlinie zur Lenkung von Korrektur- und Vorbeugungsmaßnahmen RiLi-KVP
A1 Strukturanalyse
A1.2 Bereinigter Netzplan
A1.3 Liste der Geschäftsprozesse (soweit im Dokument nicht vollständig aufgelistet)
A1.4 Liste der IT-Anwendungen
A1.5 Liste der IT-Systeme
A1.6 Liste der Räume, Gebäude und Standorte (soweit im Dokument nicht vollständig aufgelistet)
A1.7 Liste der Kommunikationsverbindungen
A1.8 Liste der Dienstleister (soweit im Dokument nicht vollständig aufgelistet)
A2 Schutzbedarfsfeststellung
A2.1 Definition der Schutzbedarfskategorien
A2.2 Schutzbedarfsfeststellung
A2.3 Vererbung des Schutzbedarfs
A3 Modellierung des Informationsverbund
A4 Ergebnis des Grundschutz-Checks
A5 Risikoanalyse
A6 Realisierungsplan/Risikobehandlung