🏛️
Pillar 0ISMS Governance
Dachstruktur & Verantwortlichkeiten
🔍
Pillar ARisikomanagement & Sicherheitsanalyse
Risikoanalyse, Asset-Bewertung, Bedrohungsanalyse
🚨
Pillar BIncident Response
Vorfallsbehandlung, Meldepflicht, Playbooks
🔄
Pillar CBusiness Continuity & Krisenmanagement
BCM, BIA, Notfallpläne, Recovery
🔗
Pillar DSupply Chain Security
Lieferantenbewertung, C-SCRM
🛠️
Pillar ESecure Development & Vulnerability Management
SDLC, SAST, DAST, Patching, Schwachstellen
📊
Pillar FWirksamkeitsbewertung
KPIs, Audits, PDCA, Management Reporting
🎓
Pillar GSecurity Awareness & Schulungen
Awareness-Programme, Phishing-Simulationen
🔐
Pillar HKryptographie & Schlüsselmanagement
TLS, Key Vault, Post-Quanten, BSI TR-02102
👤
Pillar IZugriffskontrolle & Personal Security
IAM, RBAC, PIM, Asset Management
🔑
Pillar JAuthentifizierung & Gesicherte Kommunikation
MFA, Conditional Access, E2EE, TLS
🔬
Pillar KBranchenspezifische Anforderungen
Spezifische haben Vorrang vor allgemeinen Anforderungen.
01
Security Owner bestimmen02
Kontext der Organisation deklarieren03
Risikoappetit & Akzeptanzschwellen definieren04
Assets inventarisieren05
NIS2-Scope abgrenzen06
Assets nach CIA bewerten07
Elementare Gefahren (BSI 200-3) als Baseline einspielen08
Bedrohungsanalyse pro Asset09
IT-Grundschutz-Abgleich10
Risikobewertung11
Risk Owner pro Risiko12
Risikobehandlung13
Beobachtungsliste für latente Risiken14
Maßnahmenkatalog konsolidieren & priorisieren15
Umsetzungsverantwortliche + Deadlines16
Review-Zyklus festlegen17
Followup-Kontrollen der Maßnahmenumsetzung18
Dokumentation prüfen01
IR-Verantwortlichen bestimmen02
Manpower sicherstellen03
Kritische Prozesse & Systeme identifizieren04
Incident Klassifizierung definieren05
Meldeprozess etablieren06
Kommunikationswege festlegen07
Externe IR-Dienstleister vorvertraglich binden08
Notfallplan erstellen pro Szenario10
Backups prüfen & Wiederherstellbarkeit sicherstellen09
Systemdokumentation für IR sicherstellen11
Log Analytics Workspaces einrichten12
Defender aktivieren13
Sentinel SIEM einrichten14
Alerts für kritische Ereignisse einrichten15
Sentinel Playbooks schreiben16
Übungen durchführen17
Lessons Learned Prozess01
🔒
02
🔒
03
🔒
04
Security-by-Design verankern05
🔒
06
🔒
07
🔒
08
🔒
09
Pre-Commit Hooks mit Secret Linting einrichten10
🔒
11
🔒
12
🔒
13
🔒
14
🔒
15
Statische Analyse (SAST) in CI/CD Pipelines integrieren16
🔒
17
🔒
18
🔒
19
🔒
20
🔒
21
Managed Identity für Zugriffsverwaltung nutzen22
🔒
23
Azure EASM aktivieren und Domains auf Exposition prüfen24
🔒
25
🔒
26
🔒
27
🔒
28
🔒
29
🔒
30
🔒
31
🔒
32
🔒
33
🔒
34
🔒
35
🔒
01
🔒
02
🔒
03
🔒
04
🔒
05
🔒
06
🔒
07
🔒
08
🔒
09
🔒
10
🔒
11
🔒
12
🔒
13
🔒
14
🔒
15
🔒
16
🔒
17
🔒
01
🔒
02
🔒
03
🔒
04
🔒
05
🔒
06
🔒
07
🔒
08
🔒
09
🔒
10
🔒
11
🔒
12
🔒
13
🔒
14
🔒
01
🔒
02
🔒
03
🔒
04
🔒
05
🔒
06
🔒
07
🔒
08
🔒
09
🔒
10
🔒
11
🔒
12
🔒
13
🔒
01
🔒
02
🔒
03
🔒
04
🔒
05
🔒
06
🔒
07
🔒
08
🔒
09
🔒
10
🔒
11
🔒
12
🔒
01
🔒
02
🔒
03
🔒
04
🔒
05
🔒
06
🔒
07
🔒
08
🔒
09
🔒
10
🔒
11
🔒
12
🔒
13
🔒
14
🔒
01
🔒
02
🔒
03
🔒
04
🔒
05
🔒
06
🔒
07
🔒
08
🔒
09
🔒
10
🔒
11
🔒
12
🔒
13
🔒
14
🔒
15
🔒
16
🔒
17
🔒
18
🔒
19
🔒
20
🔒
21
🔒
22
🔒
23
🔒
24
🔒
25
🔒
26
🔒
27
🔒
01
🔒
02
🔒
03
🔒
04
🔒
05
🔒
06
🔒
07
🔒
08
🔒
09
🔒
10
🔒
11
🔒
12
🔒
13
🔒
14
🔒
01
🔒
02
🔒
03
🔒
04
🔒
05
🔒
06
🔒
07
🔒
08
🔒
09
🔒
10
🔒
11
🔒
12
🔒
13
🔒
14
🔒
15
🔒
16
🔒
17
🔒
18
🔒
19
🔒
20
🔒
Press enter or space to select a node. You can then use the arrow keys to move the node around. Press delete to remove it and escape to cancel.
Press enter or space to select an edge. You can then press delete to remove it or escape to cancel.