Strukturanalyse
Aus ISMS-Ratgeber WiKi
Zur Navigation springenZur Suche springen
Mustervorlage: "Strukturanalyse"
Einleitung
Die Strukturanalyse ist eine systematische Untersuchung der vorhandenen IT-Infrastruktur. Sie ist das übergreifende Rahmendokument eines Sicherheitskonzepts.
Geltungsbereich
Organisation
Beschreibung der Organisation und ihrer Ziele, des Geschäftsverteilungsplans und der Eingruppierung des Informationsverbunds in der Organisation
Beschreibung des Informationsverbunds
Geschäftsprozesse
Kernprozesse
| Kürzel | Prozessname | Beschreibung | Verantwortlich |
|---|---|---|---|
| Beispiel | Beispiel | Beispiel | Beispiel |
| Beispiel | Beispiel | Beispiel | Beispiel |
| Beispiel | Beispiel | Beispiel | Beispiel |
Hilfsprozesse
Schutzbedarf
| Kürzel | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|
| Beispiel | Beispiel | Beispiel | Beispiel |
| Beispiel | Beispiel | Beispiel | Beispiel |
| Beispiel | Beispiel | Beispiel | Beispiel |
Bestandteile des Informationsverbund
Beschreibung des Informationsverbunds und seiner Bestandteile.
Abgrenzung des Informationsverbund
Beschreibung der Grenzen des Informationsverbunds und der außerhalb des Verbunds liegenden Teile.
Verantwortliche
Organisationsleitung
Informationssicherheitsbeauftragter
Datenschutzbeauftragter
Leitung Rechenzentrum
weitere Verantwortliche
Zulieferer / Dienstleister
Übergreifendes Regelwerk
Leitlinie zur Informationssicherheit
Richtlinie zur Lenkung von Dokumenten und Aufzeichnungen
Richtlinie zur Risikoanalyse
Richtlinie zur internen ISMS-Auditierung
Richtlinie zur Lenkung von Korrektur- und Vorbeugungsmaßnahmen
Richtlinie Sicherheitsvorfallmanagement
Standorte
Infrastruktur
Netzplan
Komponentenlisten
Gruppierung
Die in den Komponentenlisten enthaltenden Komponenten wurden zu Zielobjekten gruppiert.
Dabei wurden Komponenten zusammengefasst, die
- vom gleichen Typ sind,
- gleich oder nahezu gleich konfiguriert sind,
- gleich oder nahezu gleich in das Netz eingebunden sind,
- gleich oder nahezu gleich administriert werden,
- die gleichen Prozesse oder Anwendungen bedienen und
- den gleichen Schutzbedarf aufweisen.
Die Gruppierung ist anhand der Zuordnung der Zielobjekte in den Komponentenlisten ersichtlich.
Modellierung
Die Modellierung erfolgte auf Grundlage des IT Grundschutz Kompendium in der Edition 2023.
Prozessbausteine
Die Verwendung von Prozessbaustein im Informationsverbund ist in folgender Tabelle beschrieben:
Beschreibung der Verwendung der Prozessbausteine und Begründung für nicht verwendete Bausteine
| Baustein | Verwendung |
|---|---|
| Sicherheitsmanagement | |
| ISMS.1 Sicherheitsmanagement | Der Baustein ist einmalig übergreifend für die gesamte Organisation bearbeitet. |
| Organisation und Personal | |
| ORP.1 Organisation | Der Baustein ist einmalig übergreifend für die gesamte Organisation bearbeitet. |
| ORP.2 Personal | Der Baustein ist einmalig übergreifend für die gesamte Organisation bearbeitet. |
| ORP.3 Sensibilisierung und Schulung zur Informationssicherheit | Der Baustein ist einmalig übergreifend für die gesamte Organisation bearbeitet. |
| ORP.4 Identitäts- und Berechtigungsmanagement | Der Baustein ist einmalig übergreifend für die gesamte Organisation bearbeitet. |
| ORP.5 Compliance Management (Anforderungsmanagement) | Der Baustein ist einmalig übergreifend für die gesamte Organisation bearbeitet. |
| Konzeption und Vorgehensweise | |
| CON.1 Kryptokonzept | Der Baustein ist einmalig übergreifend für die gesamte Organisation bearbeitet. |
| CON.2 Datenschutz | Der Baustein ist einmalig übergreifend für die gesamte Organisation bearbeitet. |
| CON.3 Datensicherungskonzept | Der Baustein ist einmalig übergreifend für die gesamte Organisation bearbeitet. |
| CON.6 Löschen und Vernichten | Der Baustein ist einmalig übergreifend für die gesamte Organisation bearbeitet. |
| CON.7 Informationssicherheit auf Auslandsreisen | Der Baustein ist einmalig übergreifend für die gesamte Organisation bearbeitet. |
| CON.8 Software-Entwicklung | Entbehrlich: In der Organisation wird keine Software entwickelt. Es wird nur Standardsoftware eingesetzt. Ggf. erforderliche Spezialsoftware wird von externen Dienstleistern entwickelt. |
| CON.9 Informationsaustausch | Der Baustein ist einmalig übergreifend für die gesamte Organisation bearbeitet. |
| CON.10 Entwicklung von Webanwendungen | Entbehrlich: In der Organisation werden keine Webanwendungen entwickelt. Es wird nur Standardsoftware eingesetzt. Ggf. erforderliche Spezialanwendungen werden von externen Dienstleistern entwickelt. |
| Con.11.1 Geheimschutz VS-NUR FÜR DEN DIENSTGEBRAUCH (VS-NfD) | Entbehrlich: Die Organisation verarbeitet keine geheimschutzrelevanten Informationen. |
| Betrieb | |
| OPS.1.1.1 Allgemeiner IT-Betrieb | Der Baustein ist einmalig übergreifend für die gesamte Organisation bearbeitet. |
| OPS.1.1.2 Ordnungsgemäße IT-Administration | Der Baustein ist einmalig übergreifend für die gesamte Organisation bearbeitet. |
| OPS.1.1.3 Patch- und Änderungsmanagement | Der Baustein ist einmalig übergreifend für die gesamte Organisation bearbeitet. |
| OPS.1.1.4 Schutz vor Schadprogrammen | Der Baustein ist einmalig übergreifend für die gesamte Organisation bearbeitet. |
| OPS.1.1.5 Protokollierung | Der Baustein ist einmalig übergreifend für die gesamte Organisation bearbeitet. |
| OPS.1.1.6 Software-Tests und -Freigaben | Der Baustein ist einmalig übergreifend für die gesamte Organisation bearbeitet. |
| OPS.1.1.7 Systemmanagement | Der Baustein ist einmalig übergreifend für die gesamte Organisation bearbeitet. |
| OPS.1.2.2 Archivierung | Entbehrlich: Archivierung wird in der Organisation nicht genutzt da es keine rechtlichen Anforderungen gibt. |
| OPS.1.2.4 Telearbeit | Entbehrlich: Telearbeit wird in der Organisation nicht genutzt. Gelegentliches Homeoffice wird über den Baustein INF.9 "Mobiler Arbeitsplatz" abgedeckt. |
| OPS.1.2.5 Fernwartung | Der Baustein ist einmalig übergreifend für die gesamte Organisation bearbeitet. |
| OPS.1.2.6 NTP -Zeitsynchronisation | Der Baustein ist einmalig übergreifend für die gesamte Organisation bearbeitet. |
| OPS.2.2 Cloud-Nutzung | Entbehrlich: Clouddienste werden in der Organisation nicht genutzt. |
| OPS.2.3 Nutzung von Outsourcing | Der Baustein ist einmalig übergreifend für die gesamte Organisation bearbeitet. |
| OPS.3.2 Anbieten von Outsourcing | Entbehrlich: Die Organisation bietet selbst kein Outsourcing an. |
| Detektion und Reaktion | |
| DER.1 Detektion von sicherheitsrelevanten Ereignissen | Der Baustein ist einmalig übergreifend für die gesamte Organisation bearbeitet. |
| DER.2.1 Behandlung von Sicherheitsvorfällen | Der Baustein ist einmalig übergreifend für die gesamte Organisation bearbeitet. |
| DER.2.2 Vorsorge für die IT-Forensik | Der Baustein ist einmalig übergreifend für die gesamte Organisation bearbeitet. |
| DER.2.3 Bereinigung weitreichender Sicherheitsvorfälle | Der Baustein ist einmalig übergreifend für die gesamte Organisation bearbeitet. |
| DER.3.1 Audits und Revisionen | Der Baustein ist einmalig übergreifend für die gesamte Organisation bearbeitet. |
| DER.3.2 Revision auf Basis des Leitfadens IS-Revision | Der Baustein ist einmalig übergreifend für die gesamte Organisation bearbeitet. |
| DER.4 Notfallmanagement | Der Baustein ist einmalig übergreifend für die gesamte Organisation bearbeitet. |
Systembausteine
Die Modellierung der Systembausteine ist in der Anlage dokumentiert.
Verweis auf Modellierungsdokumentation im ISMS-Tool bzw. anderer Quellen.
Benutzerdefinierste Bausteine
Beschreibung benutzerdefinierter Bausteine falls vorhanden und modelliert.
ansonsten:
Die Infrastruktur der Organisation ist vollständig mit den Bausteinen des Kompendium modellierbar.
Es werden keine benutzerdefinierten Bausteine genutzt.
