Anlagen                                  A-960/1 CPM-Phase       Tätigkeit                                          Bemerkungen InfoSichh-Verfahren: Akkreditierung (Re-Akkreditierung) (bei Bedarf),   FF DEUmilSAA Freigabe in der Nutzung bzw. Aufhebung oder FF ProjLtr zeitliche Befristung. Gewährleistung der InfoSichh Gewährleistung / Wiederherstellung            der FF ProjLtr technischen           InfoSichh              inkl. Obsolenzenzmanagements. Dienststellen- und einsatzbezogene Aufgaben der FF DStLtr / ISBDSt InfoSichh in der Nutzungsphase sind in den KtgtFhr / Kdr EinsStO / ISB Anwendungsbereichen        „Dienststelle“          st (siehe i.E. en Anlage 11.5.6, Abb. 30) und „Einsatzkontingente sd und Einsatzstandorte“ (siehe Anlage 11.5.7, Abb. i ng 31) beschrieben.                         ru de Än Bei Übernahme von IT anderer Nationen, ist deren InfoSichh-Dokumentation zu prüfen (siehe Nr. 434) FF ProjLtr m de und durch DEUmilSAA bewerten zu lassen. ht Beendigung der Aussonderung ic tn Nutzung        Durchführung      der  eg Maßnahmen        gemäß FF ProjLtr rli InfoSichhKProj (siehe Anlage 11.7.1). te un Abb. 27 Wegweiser Projekte nach CPM (P) k uc dr us rA se ie D Seite 175 Stand: März 2019

A-960/1                                   Anlagen 11.5.4 Anwendungsbereich Infrastruktur- / Baumaßnahmen bzw. sonstige Vorhaben mit IT-Anteil (V) Phasen         Tätigkeit                                        Bemerkungen Für IT, die aus Infrastruktur- / Baumaßnahmen FF Verantwortliche(r) für die finanziert wird oder sonstige Vorhaben, in denen Infra-Maßnahme IT-Anteile beschafft bzw. eingerüstet werden (z. B. Gebäudeverkabelung, Gebäudeautomation), ist der Abschnitt 4.4 sinngemäß anzuwenden, ein InfoSichhK Infra zu erstellen und dieses an die nutzende DSt zu übergeben. Erstellung und Begründung einer Infrastruktur FF Bedarfsträger (siehe Abschnitt 6.3.2)                               st en Notwendige Abweichungen zu Struktur und Inhalt FF Verantwortliche(r) für die sd i des InfoSichhK Infra mit DEUmilSAA abstimmen   Infra-Maßnahme ng ru Bei IT, welche aus Infrastrukturmitteln beschafft FF Verantwortliche(r) für die de Än wird, sind Abweichungen und Regelungen mit Infra-Maßnahme CISO Infrastruktur abzustimmen.      m de ht ic Abstimmung mit CISOBw und DEUmilSAA tn                   FF CISO Infrastruktur eg Abb. 28 Wegweiser Infrastruktur- / Baumaßnahmen bzw. sonstige Vorhaben mit IT-Anteil (V) rli te un k uc dr us rA se ie D Seite 176 Stand: März 2019

Anlagen                                            A-960/1 11.5.5 Anwendungsbereich IT-Betrieb und Aufgabenübernahme durch Dritte (O) Phasen             Tätigkeit                                           Bemerkungen Vor Beginn des     Grundlegende Beachtung von Abschnitt 4.6.1 FF ProjLtr / ISBProj Vertragsver-       „Übernahme von IT-Betriebsverantwortung“ und hältnisses / vor   Abschnitt 4.6.2 „Übernahme von Aufgaben- der Nutzung        bereichen“ bei der Vertragsgestaltung. Planen, Bearbeiten und        Fertigstellen   des Projektelementes InfoSichh InfoSichhDok: Erstellung InfoSichhKProj (in Anlehnung an Anlage 11.7.1) FF ProjLtr / ISBProj mit                                                 st en Informationsstruktur (abschließend) und der   sd i  FF ProjLtr / ISBProj ng Schutzbedarfsfeststellung (abschließend) sowie ru         FF ProjLtr / ISBProj de Zuordnung von InfoSichh-Anforderungen zu den FF ProjLtr / ISBProj Än Schutzbedarfskategorien (bei Bedarf) sowie m de Ermittlung und Deckung des Schutzbedarfs FF ProjLtr / ISBProj (abschließend) und           ht ic tn Auswahl, Anpassung und Konkretisierung von FF ProjLtr / ISBProj eg InfoSichh-Maßnahmen (abschließend) sowie rli te Risikoanalyse – Dokumentation des verbliebenen FF ProjLtr / ISBProj un Risikos (bei Bedarf) und k uc Ermittlung zusätzlicher dr               bzw.    alternativer FF ProjLtr / ISBProj us InfoSichh-Maßnahmen. rA se Mitzeichnung von DEUmilSAA einholen.                FF ProjLtr ie D Mitteilung an DEUmilSAA bei Abweichung von den FF ProjLtr Empfehlungen der Mitzeichnung. InfoSichh-Verfahren: Zulassung von InfoSichh-Produkten             (bei FF BSI / CISOBw Bedarf), Zertifizierung von InfoSichh-Produkten (bei FF BSI Bedarf), Anerkennung von Zulassungen, die durch      FF CISOBw NATO- oder EU-Mitgliedstaaten ausgesprochen wurden (bei Bedarf). Seite 177 Stand: März 2019

A-960/1                                       Anlagen Phasen           Tätigkeit                                         Bemerkungen Herstellung der InfoSichh Umsetzung    der    technischen    InfoSichh- FF ProjLtr / AN Maßnahmen sowie Prüfung deren Wirksamkeit. Akkreditierung (bei Bedarf),                      FF DEUmilSAA Freigabe zur Nutzung (verfahrensbezogene oder FF ProjLtr vorläufige Freigabe). siehe Anwendungsbereich „Dienststelle“ in Während des                                                        FF Vertragsverhält- Anlage 11.5.6, Abb. 30                            ProjLtr / ISBProj / ISBAN nisses / der Nutzung st Abb. 29 Wegweiser IT-Betrieb und Aufgabenübernahme durch Dritte (O) en sd i ng ru de Än m de ht ic tn eg rli te un k uc dr us rA se ie D Seite 178 Stand: März 2019

Anlagen                                   A-960/1 11.5.6 Anwendungsbereich Sofortinitiativen für den Einsatz (Phasendokument „Fähigkeitslücke und Funktionale Forderung“ (S)) (S) Phasen           Tätigkeit                                          Bemerkungen Vor Beginn der   Bearbeiten der InfoSichh Nutzung          InfoSichhDok: Festlegung der Informationsstruktur (abschließend) und                                                FF Ltr IPT / bei PersDat unter Beteiligung des bzw. der zuständigen ADSB Ermittlung und Deckung des Schutzbedarfs FF Ltr IPT sowie st en Zuordnung von InfoSichh-Anforderungen zu FF Ltr IPT den Schutzbedarfskategorien (bei Bedarf) und sd i ng ru Auswahl, Anpassung und Konkretisierung von FF Ltr IPT de InfoSichh-Maßnahmen.                    Än Mitzeichnung von DEUmilSAA einholen.m              FF Ltr IPT de Mitteilung an DEUmilSAA bei Abweichung von den FF Ltr IPT ht Empfehlungen der Mitzeichnung. ic tn Nutzungsphase eg Fertigstellen der InfoSichh rli InfoSichhDok: te un Erstellung      k uc dr Projektbezogenes    InfoSichh-Konzept         (IT- FF Ltr IPT us SichKProj) (gemäß Anlage 11.7.1) mit rA se Ermittlung und Deckung des Schutzbedarfs FF Ltr IPT ie (abschließend) und D Auswahl, Anpassung und Konkretisierung von FF Lt IPT InfoSichh-Maßnahmen (abschließend) sowie Risikoanalyse – Dokumentation des verbliebenen FF Ltr IPT Risikos (bei Bedarf) und Ermittlung zusätzlicher bzw. alternativer FF Lt IPT InfoSichh-Maßnahmen (abschließend). Mitzeichnung von DEUmilSAA einholen.               FF Ltr IPT Mitteilung an DEUmilSAA bei Abweichung von den FF Ltr IPT Empfehlungen der Mitzeichnung. Seite 179 Stand: März 2019

A-960/1                                   Anlagen Phasen       Tätigkeit                                            Bemerkungen Herstellung der InfoSichh Umsetzung        der     technischen     InfoSichh- FF Ltr IPT Maßnahmen. InfoSichh-Verfahren: Zulassung von InfoSichh-Produkten              (bei FF BSI / CISOBw Bedarf), Zertifizierung von InfoSichh-Produkten (bei FF BSI Bedarf), Anerkennung von Zulassungen, die durch FF CISOBw NATO- oder EU-Mitgliedstaaten ausgesprochen wurden (bei Bedarf),                                     st en Akkreditierung (bei Bedarf),                       sdFF DEUmilSAA i ng Freigabe zur Nutzung (verfahrensbezogene oder FF Ltr IPT ru vorläufige Freigabe).                      de Än Die anderen Tätigkeiten während der Nutzung ergeben sich aus dem m Anwendungsbereich „Projekte nach CPM“ (siehe Anlage 11.5.3, Abb. 27). de ht Abb. 30 Wegweiser Sofortinitiativen für den Einsatz (FFF(S)) (S) ic tn eg rli te un k uc dr us rA se ie D Seite 180 Stand: März 2019

Anlagen                                         A-960/1 11.5.7 Anwendungsbereich Dienststellen (D) Phasen        Tätigkeit                                                      Bemerkungen gemäß CPM Nutzungsphase Personal Bestellung eines ISBDSt inkl. Vertreter (siehe Abschnitt 5.7). FF DStLtr Belehrungen und deren Nachweis                                 FF ISBDSt Nutzung InfoSichhDok:                                                  In Abstimmung mit zuständigem Regionalzentrum und ggf. CISO st       Infrastruktur en Erstellung / Fortschreibung                     sd i ng InfoSichhKDSt (gemäß Anlage 11.7.3), dabei ggf.                FF ru                 DStLtr / ISBDSt de Än                      unter Beteiligung m                          ADSB de Festlegung der                ht Informationsstruktur ic                                FF tn eg                                     DStLtr / ISBDSt und rli                                     unter Beteiligung te un                                           ADSB k Auswahl, Anpassung und Konkretisierung von InfoSichh- FF uc Maßnahmen   dr                                        DStLtr / ISBDSt us sowie rA                                              unter Beteiligung se                                              ADSB ie Risikoanalyse – Dokumentation des verbliebenen Risikos (bei FF D Bedarf)                                                     DStLtr / ISBDSt und                                                         unter Beteiligung ADSB Ermittlung zusätzlicher      bzw.    alternativer   InfoSichh- FF Maßnahmen (bei Bedarf).                                        DStLtr / ISBDSt unter Beteiligung ADSB Führen Dienststellen- / einsatzbezogene InfoSichhDok                  FF ISBDSt unter Beteiligung ADSB Seite 181 Stand: März 2019

A-960/1                                    Anlagen Phasen      Tätigkeit                                                            Bemerkungen gemäß CPM Herstellung der InfoSichh Umsetzung        der      personellen, organisatorischen         und FF infrastrukturellen       InfoSichh-Maßnahmen       aus           den DStLtr / ISBDSt InfoSichhKProj. InfoSichh-Verfahren: Akkreditierung (Re-Akkreditierung) (bei Bedarf),                     FF DEUmilSAA Freigabe zur Nutzung (operationelle oder vorläufige Freigabe). FF DStLtr Umsetzung der          dienststellenbezogenen   Anteile    der   IT- FF Notfallvorsorge.                                                     DStLtr / ISBDSt Gewährleistung der InfoSichh                                 st en sd Wiederherstellen der personellen, organisatorischen und FF DStLtr i ng infrastrukturellen InfoSichh-Maßnahmen in der Dienststelle nach Verlust / Beeinträchtigung der InfoSichh. ru de Überwachung der InfoSichh                   Än InfoSichhIn          mit                 m Erstellung          der FF CISOBw, de Dokumentation / Informationssicherheitsinspektionsbericht RegZ ht (InfoSichhInB)                     ic tn InfoSichhKtr                  eg                                     ISBOrgBer, rli InfoSichhPrfg              te                                        DStLtr / ISBDSt un InfoSichhVork          k uc Nutzersensibilisierung dr us Sensibilisierung rA                                                       FF se                                                            DStLtr / ISBDSt ie D        Bei IT-Betrieb durch die Dienststelle: Herstellung der InfoSichh Bestellung ISBBtrb                                                   FF DStLtr Umsetzung der für den IT-Betrieb relevanten technischen              FF    DStLtr   / InfoSichh-Maßnahmen aus den InfoSichhKProj für in der DSt            ISBBtrb      in betriebene IT.                                                       Zusammenarbeit mit ISBDSt und ISBProj Seite 182 Stand: März 2019

Anlagen                               A-960/1 Phasen      Tätigkeit                                               Bemerkungen gemäß CPM Gewährleistung der InfoSichh Gewährleistung der betrieblichen InfoSichh.             FF Durchführung des Sicherheitsauditings.                  DStLtr / ISBDSt in Zusammenarbeit Durchführung von Notfallübungen. mit ISBBtrb Abb. 31 Wegweiser Dienststellen (D) st en sd i ng ru de Än m de ht ic tn eg rli te un k uc dr us rA se ie D Seite 183 Stand: März 2019

A-960/1                                      Anlagen 11.5.8 Anwendungsbereich Einsatzkontingente und Einsatzstandorte (E) Phasen gemäß Tätigkeit                                              Bemerkungen CPM Nutzungsphase   Personal Bestellung eines ISB i.E. (siehe Abschnitt 5.7).    FF KtgtFhr / Kdr EinsStO Ggf. Bestellung eines/einer Leiter(in) NOC i.E. FF KtgtFhr / Kdr EinsStO (siehe Abschnitte 464, 465) Belehrungen und deren Nachweis                      FF ISB i.E. Nutzung InfoSichhDok:                                       Mitzeichnung ISB vorgesetzte Dienststelle st oder zuständiger ISB- en OrgBer / ISBEinsatz sd i Erstellung / Fortschreibung                    ng ru de InfoSichhKDSt (gemäß Anlage 11.7.3), dabei ggf. FF KtgtFhr / Kdr EinsStO / Än      ISB i.E. m Festlegung der                        de Informationsstruktur und ht                 FF KtgtFhr / Kdr EinsStO / ic tn                    ISB i.E. eg Auswahl, Anpassung und Konkretisierung von FF KtgtFhr / Kdr EinsStO / rli te InfoSichh-Maßnahmen sowie                  ISB i.E. un k Risikoanalyse – Dokumentation des verbliebenen FF KtgtFhr / Kdr EinsStO / uc Risikos (bei Bedarf) und dr                                ISB i.E. us Ermittlung zusätzlicher bzw. alternativer FF KtgtFhr / Kdr EinsStO / rA se InfoSichh-Maßnahmen (bei Bedarf).         ISB i.E. ie D Führen Dienststellen- / einsatzbezogene InfoSichhDok       FF ISB i.E. Herstellung der InfoSichh Umsetzung der personellen, organisatorischen, FF KtgtFhr / Kdr EinsStO / infrastrukturellen und die für den IT-Betrieb ISB i.E. relevanten technischen InfoSichh-Maßnahmen aus den InfoSichhKProj. InfoSichh-Verfahren: Freigabe zur Nutzung (operationelle oder vor- FF KtgtFhr / Kdr EinsStO läufige Freigabe). Umsetzung der dienststellenbezogenen Anteile FF KtgtFhr / Kdr EinsStO / der IT-Notfallvorsorge.                      ISB i.E. Seite 184 Stand: März 2019