====== Prozess der Bestandsaufnahme ====== ++++ Hintergrundinfos Bestandsaufnahme | Nach dem {[BSI2002]} ist die Bestandsaufnahme ein zentraler Schritt im Rahmen der Implementierung eines ISMS. Sie dient dazu, die vorhandenen IT-Systeme, Prozesse, Räumlichkeiten und Informationen zu erfassen und zu dokumentieren. Ziele: * Transparenz schaffen: Klare Übersicht über alle IT-Komponenten, Prozesse und Informationen. * Grundlage für die Schutzbedarfsfeststellung: Identifikation, welche Assets besonders schützenswert sind. * Risikomanagement: Vorbereitung für die spätere Risikoanalyse und Auswahl von Sicherheitsmaßnahmen. Vorgehensweise: Die Strukturanalyse umfasst die folgenden Punkte: * Organisatorische Struktur: Abteilungen, Verantwortlichkeiten, Prozesse. * IT-Infrastruktur: Netzwerke, Server, Arbeitsplatzrechner, mobile Geräte, Cloud-Dienste. * Räumlichkeiten: Gebäude, Räume, Rechenzentren, Lager. * Anwendungen und Daten: Software, Datenbanken, Dokumente, personenbezogene Daten. ++++ Die analysierte Struktur muss dokumentiert werden, dies geschieht bei der Mittelstand GmbH über: * Bestandslisten: Erfassung aller IT-Komponenten/-Assets ([[.:hardware:start|Hardware]] inkl. aller Netzwerkgeräte, [[.:software:start|Software]], [[.:zertifikate:start|Zertifikate]]) und IT-bezogenen [[.:raeume:start|Räumlichkeiten]]. * [[.:netzwerk|Netzwerkpläne]]: dienen der Visualisierung der IT-Infrastruktur und Datenflüsse * [[komponenten:prozesse:start|Prozessbeschreibungen]]: Dokumentation der Geschäftsprozesse und deren IT-Unterstützung * Verantwortlichkeiten: * Eine klare Zuordnung von intern Verantwortlichen für Assets und Prozesse sind bei der Mittelstand GmbH entlang der Prozessbeschreibungen und Bestandslisten nachvollziehbar. * Externe Verantwortlichkeiten (also IT-Dienstleister/externe Partner) werden jeweils als eigene [[.:it-dl:start|Bestandsliste]] gepflegt. Eine Zuordnung erfolgt bei der jeweiligen Hard- oder Software bzw. beim Zertifikat. Der Prozess der Strukturanalyse wurde einmalig durchgeführt. Jedes neue Asset (Hardware, Netzwerkgrät, Software) wird im Rahmen des [[komponenten:prozesse:hard-_oder_softwarebeschaffung|Beschaffungsprozesses]] den Bestandslisten zugeordnet. Bei der Aussonderung von Geräten oder der Kündigung von Software werden die Bestandslisten entsprechend aktualisiert. Bei der Aktualisierung oder Einrichtung von neuen Zertifikaten ebenfalls. Bedarfsorientiert können bei größeren Veränderungen erneute Strukturanalysen durchgeführt werden.