HAFS CISO TOM - Target Operating Model

Target Operating Model

CISO TOM Gesamtuebersicht

Das TOM beschreibt die vollstaendige CISO-Organisation integriert ueber die Three Lines of Defence.

🛡

Information Security Office

Aufbau und kontinuierliche Weiterentwicklung der Information Security und Business Continuity Management-Funktion basierend auf DORA, CSSF 25/881, 25/883, 24/847. Budget- und Ressourcenplanung.

2nd LineHAFS

📜

Security Governance

Mission Statement, Strategie, Policies, Standards, Frameworks. Definition von Sollmassnahmen und Monitoring.

2nd LineGovernance

⚠

IT Risk Management

Identifikation, Klassifizierung und Assessment aller IT-Assets. Operationelle Resilienz-Tests als Input fuer laufendes Risikomanagement.

2nd LineRisk

🔒

Security Architecture & Engineering

Security-by-Design innerhalb neuer Architekturen, IT-Changes und Assets. IAM, Cloud-Architektur, Netzwerk-Security.

1st LineHAAS

👁

Security Operations Center (SOC)

24/7 Monitoring von Netzwerk, Systemen und Applikationen. Incident Detection, Analysis, Forensics und Threat Intelligence.

1st LineSOC

🔐

Identity & Access Management

RBAC, PAM, MFA/SSO-Implementierung, Joiner/Mover/Leaver-Prozesse und Rezertifizierung.

1st LineIAM

🚨

Incident & Problem Management

Detection, Logging, Klassifikation, Eskalation, Root Cause Analysis. Integration in DORA/CSSF 24/847-Prozesse.

1st LineIncident

🛠

System & Infrastructure Hardening

CIS-Baselines, Patching, Vulnerability Management, Firewall/IDS/IPS, Endpoint Protection und EDR.

1st LineHardening

🔄

Business Continuity Management

BCM-Framework, Recovery-Ziele, BIA, DRP-Oversight. Krisenmanagement und Kommunikation.

2nd LineBCM

📊

Operational Resilience Testing

Penetration Tests, Vulnerability Scanning, Phishing-Kampagnen, DRP/ITSCM-Tests, Failover-Simulationen.

1st LineTesting

🏫

Training & Awareness

Security Awareness-Schulungen, Management Body Training zu ICT-Risiken und Informationssicherheit.

2nd LineTraining

📄

Reporting & Management

Risk Heat Maps, Security Incidents, BCM Status, KPIs/KRIs, BCM/OpRes-Testergebnisse, Management-Informationen und Exceptions an Management und Regulatoren.

2nd LineReporting

👥

ISO Involvement & Advisory

Laufende Beratung ueber alle 3 Lines: Change Risk Assessments, Security Architecture Reviews, Regulatory Interface (CSSF/CBI), Szenarien fuer Cyber-Bedrohungen in Zusammenarbeit mit BCM/ITSCM, Third-Party Security, Access Management fuer kritische Assets.

2nd LineCross-Line

📋

Sollmassnahmenkatalog-Monitoring

Laufende Verifizierung der Implementierung von Sollmassnahmen fuer IT-Assets. Empfehlung operativer Security-Anforderungen (Ist vs. Soll). Sample-based Testing und Security Policy Compliance.

2nd LineMonitoring

📖

Policy Exception Management

Dokumentation und Pflege des Exception-Inventars. Bewertung von Ausnahmen (Risiko, wirtschaftliche vs. InfoSec-Aspekte). Laufendes Monitoring und Review der Ausnahmen.

2nd LineExceptions

🏗

Information Security Program (ISP)

Programm zum Aufbau und zur Implementierung des TOM ueber 1st und 2nd Line. Koordination und Schnittstellen mit relevanten Funktionen. Zeitrahmen: 24 Monate.

Programm24 Monate

🔌

IT Service Continuity Management

Definition und Pflege von IT-Recovery-Faehigkeiten (Plaene, Prozeduren, RTO/RPO, Backup-Strategien). IT-Kontinuitaetsdokumentation, Verantwortlichkeiten und Readiness. Continuous Improvement und Integration mit BCM-Funktion.

1st LineIT SCM

Organisationsmodell

Three Lines of Defence

Verteilung der Verantwortlichkeiten ueber 1st, 2nd und 3rd Line.

1st Line of Defence - Operational IT Security (HAAS)

Security Architecture & Engineering - Security-by-Design, technisches Interface IS/IT, Netzwerk-Security, IAM, Cloud-Architekturen
Security Operations Center (SOC 24/7) - Monitoring, Detection, Incident Analysis & Forensics, Threat Intelligence (IoC), Reporting
Identity & Access Management (IAM/PAM) - RBAC, PAM, Joiner/Mover/Leaver, MFA/SSO, Monitoring, Rezertifizierung, SoD
System & Infrastructure Hardening - CIS-Baselines, Patching, Firewall/IDS/IPS, EDR, Logging & Monitoring (mit IAM/SOC)
Operational Resilience Testing - DRP/ITSCM-Tests, Failover-Simulationen, Penetration Tests, Vulnerability Scanning, Phishing, Red/Blue Team, Szenario-Tests mit BCM
Incident & Problem Management - Detection, Logging, Klassifikation, Eskalation, Root Cause Analysis, Integration DORA/CSSF 24/847
IT Service Continuity (IT SCM) - IT-Recovery-Plaene, RTO/RPO, Backup-Strategien, Kontinuitaetsdokumentation, Integration mit BCM
Physical Security - Zugangskontrollen zu Gebaeuden, Ueberwachung & Monitoring, Umgebungsschutz (Feuer, Wasser, Strom)
Outsourcing Controlling & Oversight - Provider Oversight, Due Diligence Monitoring, Contract Management, DORA-Register
Information Technology (IT) - IT-Strategie & Governance, IT-Operations, Application Development, IT Security Operations, IAM, IT SCM, Resilience Testing
Third-party/Supplier Mgmt (1st Line) - Security Reviews, Third-Party Reports & Monitoring, technische Due Diligence fuer RfP

2nd Line of Defence - IS&R / CISO (HAFS)

Information Security Office - IS&BCM-Funktion, Budget- & Ressourcenplanung, DORA/CSSF
ISO Involvement & Advisory - Beratung ueber alle Lines, Change Risk Assessments, Architecture Reviews, Regulatory Interface (CSSF/CBI)
Information Security Governance - Mission Statement, Strategie, Policies, Sollmassnahmen, Regulatory Watch (EU, CSSF, CBI), Steuerungskomitee
Business Continuity Governance - BCM-Policies, Recovery-Ziele, BCM-Framework, zentrale Dokumentation, regulatorische Evidenz
IT Risk Management (Technology) - Asset-Klassifizierung, Risikoidentifikation (initial, ad-hoc, laufend), Risk Register, interne/externe Bedrohungsanalyse
Business Impact Analysis - Methodik definieren, Durchfuehrung koordinieren, Ergebnisse challengen
Disaster Recovery Planning Oversight - Anforderungen, Testing, Wartung koordinieren, Ergebnisse challengen
Crisis Management & Communication - Governance & Eskalationslogik, Kommunikationsrichtlinien, Wirksamkeitsmonitoring, regulatorische Compliance
Major Security Incident Mgmt - Bewertung nach DORA/CSSF 24/847, Stakeholder-Koordination, Incident Reporting (CSSF/CBI), Koordination mit Operational Risk/ICT Risk Manager
Training & Awareness - Security Awareness, Schulungen, Management Body Training zu ICT-Risiken
Policy Exception Management - Exception-Inventar, Bewertung (Risiko vs. InfoSec), Monitoring
Monitoring IS-Anforderungen - Angemessenheit von Zugriffsrechten, Sample-based Testing, Security Policy Compliance
Sollmassnahmenkatalog-Monitoring - Verifizierung der Implementierung, Empfehlung Soll vs. Ist
Testing & Exercises (Oversight) - Ziele definieren, Tests koordinieren, Ergebnisse challengen
Reporting - Risk Heat Map, Security Incidents, BCM Status, KPIs/KRIs, OpRes-Tests, Management-Informationen, Exceptions
Third-party/Supplier Mgmt (2nd Line) - Due Diligence mit IS/BCM Sign-Off, Koordination mit Vendor Management
Risk Management / Operational Risk - basiert auf Input aus ICT Risk Management (IS&R)
Compliance - Regulatory Monitoring & Advisory, Control & Oversight Activities, Reporting/Koordination mit Behoerden (CSSF)
Data Protection - Monitoring DP-Gesetze, Beratung & Schulung, Koordination mit Behoerden und Betroffenen

3rd Line of Defence - Internal Audit

Independent Assurance - End-to-end ueber alle Business- und IT-Aktivitaeten
Risk-based Planning - Auditplanung, Durchfuehrung von Audits
Reporting & Follow-up - Berichterstattung und Nachverfolgung von Audit-Findings
Koordination mit Behoerden - Abstimmung mit CSSF und anderen Regulatoren

Interaktives Diagramm

TOM Organisationsstruktur

Interaktive Darstellung aller TOM-Funktionen ueber 1st und 2nd Line of Defence. Klicken Sie auf eine Box fuer Details.

IS&R / CISO - 2nd Line (HAFS)

IS Office

ISO Involvement

IS Governance

BCM Governance

IT Risk Mgmt

BIA

DRP Oversight

Crisis Mgmt

Major Incident Mgmt

Training & Awareness

Policy Exceptions

Monitoring IS-Anf.

Sollmassnahmen

Testing & Exercises

Reporting

ISP

Third-party (2nd)

(Operational) IT Security - 1st Line (HAAS)

Security Architecture

SOC (24/7)

IAM / PAM

System Hardening

OpRes Testing

Incident & Problem Mgmt

IT SCM

Third-party (1st)

Physical Security

Risk Mgmt / OpRisk

Internal Audit

Compliance

Data Protection

Outsourcing

2nd Line (HAFS)

1st Line (HAAS)

3rd Line (Audit)

TOM-Funktion	CISO/ISR	IT Security (1st)	IT Operations	Risk Mgmt	Compliance	Internal Audit	Data Protection	Management
IS Strategie & Governance	R	C	C	C	C	I	I	A
IS Policy & Standards	R	C	I	C	C	I	I	A
IT Risk Assessment	R	C	C	A	C	I	C	I
SOC / Monitoring	C	R	C	I	I	I	I	I
IAM / PAM	C	R	A	I	I	I	C	I
Incident Management	A	R	C	C	I	I	C	I
BCM / DRP	R	C	C	C	I	I	I	A
Training & Awareness	R	C	I	I	C	I	I	A
Third-Party Security	R	C	I	C	C	I	I	A
Compliance Monitoring	C	I	I	C	R	C	C	A
Audit	I	I	I	I	C	R	I	A
Physical Security	C	C	R	I	I	I	I	A
Data Protection	C	I	I	C	C	I	R	A

Regulatorisches Mapping

Regulatory Deep-Mapping

Detaillierte Zuordnung der TOM-Funktionen zu regulatorischen Anforderungen.

TOM-Funktion	DORA Art.5-15	CSSF 25/881	CSSF 24/847	MaRisk AT7	BAIT	ISO 27001	NIS2
IS Governance	✓	✓	✓	✓	✓	✓	✓
IT Risk Management	✓	✓	●	✓	✓	✓	✓
SOC / Monitoring	✓	✓	✓	●	✓	✓	✓
IAM / PAM	✓	✓	●	✓	✓	✓	✓
Incident Management	✓	✓	✓	✓	✓	✓	✓
BCM / DRP	✓	✓	●	✓	●	✓	✓
Security Architecture	✓	✓	-	✓	✓	✓	●
System Hardening	●	✓	-	✓	✓	✓	✓
Training & Awareness	✓	✓	-	●	✓	✓	✓
Third-Party Security	✓	✓	●	✓	✓	✓	✓
OpRes Testing	✓	✓	-	●	●	✓	●
Reporting	✓	✓	✓	✓	✓	✓	✓
IT SCM	✓	✓	●	✓	✓	✓	✓
Data Protection	●	●	-	●	●	✓	✓

✓ Direkte Abdeckung

● Teilweise Abdeckung

- Nicht direkt relevant

DORA - Digital Operational Resilience Act (Art. 5-15)

Artikel	Anforderung	TOM-Abdeckung
Art. 5-6	ICT Risk Management Framework	IS Governance, IT Risk Mgmt, Reporting
Art. 7	ICT Systems, Protocols, Tools	Security Architecture, System Hardening, SOC
Art. 8	Identification of ICT risks	IT Risk Mgmt, Asset-Klassifizierung, BIA
Art. 9	Protection and Prevention	IAM/PAM, System Hardening, Security Architecture
Art. 10	Detection	SOC, Monitoring, Threat Intelligence
Art. 11	Response and Recovery	Incident Mgmt, BCM/DRP, IT SCM, Crisis Mgmt
Art. 12	Backup, Restoration, Recovery	IT SCM, DRP, Backup-Strategien
Art. 13	Learning and Evolving	Training, Lessons Learned, Continuous Improvement
Art. 14	Communication	Crisis Mgmt, Reporting, Incident Communication
Art. 15	ICT Risk Management Tools	SIEM, IAM/PAM, Vulnerability Mgmt, Risk Register

CSSF 25/881 - ICT Risk Management

Bereich	Anforderung	TOM-Abdeckung
Governance	ICT Governance Framework, Rollen und Verantwortlichkeiten	IS Governance, IS Office, Reporting
Risk Mgmt	ICT Risk Identification, Assessment, Behandlung	IT Risk Mgmt, BIA, Risk Register
Security	Informationssicherheitsrichtlinien und -kontrollen	IS Governance, Security Architecture, Hardening
Operations	ICT Operations und Monitoring	SOC, System Hardening, Monitoring
Continuity	ICT Business Continuity	BCM Governance, DRP, IT SCM
Testing	Operationelle Resilienz-Tests	OpRes Testing, Testing und Exercises
Third-Party	ICT Third-Party Risk Management	Third-Party Mgmt (1st + 2nd Line)

CSSF 24/847 - ICT Incident Reporting

Bereich	Anforderung	TOM-Abdeckung
Klassifikation	Incident-Klassifizierung und Schwellenwerte	Major Incident Mgmt, Incident und Problem Mgmt
Meldung	Incident Reporting an CSSF/CBI	Major Incident Mgmt, Reporting
Prozess	Incident Response Koordination	Incident Mgmt, SOC, Crisis Mgmt
Follow-up	Root Cause und Lessons Learned	Incident und Problem Mgmt, Continuous Improvement

MaRisk AT 7 - IT-Risikomanagement

Abschnitt	Anforderung	TOM-Abdeckung
AT 7.1	IT-Strategie	IS Governance, Security Architecture
AT 7.2	IT-Governance und Organisation	IS Office, IS Governance, Reporting
AT 7.3	Informationsrisikomanagement	IT Risk Mgmt, BIA, Risk Register
AT 7.4	Informationssicherheitsmanagement	IS Governance, Security Architecture, Hardening
AT 7.5	IT-Betrieb	SOC, System Hardening, IAM/PAM
AT 7.6	IT-Notfallmanagement	BCM, DRP, IT SCM, Crisis Mgmt

ISO 27001 - Annex A Controls

Control	Bereich	TOM-Abdeckung
A.5	Organisatorische Controls	IS Governance, Policies, Risk Mgmt
A.6	Personenbezogene Controls	Training, Awareness, HR-Prozesse
A.7	Physische Controls	Physical Security
A.8	Technologische Controls	IAM, SOC, Hardening, Security Architecture

NIS2 - Netz- und Informationssicherheit

Artikel	Anforderung	TOM-Abdeckung
Art. 21 (a)	Risikoanalyse und IS-Policies	IS Governance, IT Risk Mgmt
Art. 21 (b)	Bewertung von Sicherheitsvorfaellen	Incident Mgmt, SOC, Major Incident Mgmt
Art. 21 (c)	Business Continuity und Krisenmanagement	BCM, DRP, IT SCM, Crisis Mgmt
Art. 21 (d)	Sicherheit der Lieferkette	Third-Party Mgmt (1st + 2nd Line)
Art. 21 (e)	Sicherheit bei Erwerb/Entwicklung	Security Architecture, System Hardening
Art. 21 (f)	Bewertung der Wirksamkeit	OpRes Testing, Monitoring, Reporting
Art. 21 (g)	Cyberhygiene und Schulungen	Training und Awareness
Art. 21 (h)	Kryptographie und Verschluesselung	Security Architecture, System Hardening
Art. 21 (i)	Zugangssteuerung	IAM/PAM
Art. 21 (j)	MFA und sichere Kommunikation	IAM/PAM, Security Architecture

Detailseiten

Detaillierte TOM-Funktionen

Erweitern Sie die Karten fuer detaillierte Informationen zu Scope, Deliverables, KPIs und Tools.

👁

Security Operations Center (SOC)

24/7 Monitoring, Detection & Response

1st Line ▼

Das SOC ueberwacht rund um die Uhr alle Netzwerke, Systeme und Applikationen der HAFS-Group. Es erkennt Sicherheitsvorfaelle, fuehrt Analysen und Forensik durch und koordiniert die Incident Response.

Scope: Alle IT-Assets der HAFS-Group (On-Prem + Cloud)
Ziel: Fruehzeitige Erkennung und Eindaemmung von Bedrohungen
Betriebsmodell: Hybrid-SOC (internes Team + Managed SOC-Partner)
Regulatorik: DORA Art. 10, CSSF 25/881, BAIT, ISO 27001 A.8

M1-3: Log-Architektur und SIEM-Basis (Elasticsearch)
M3-6: Erste Detection Rules (50+), Alert-Pipeline, SOC-Dashboard
M6-9: SOAR Playbooks, Threat Intelligence Integration, 200+ Rules
M9-12: ML-basierte Anomalie-Erkennung, MITRE ATT&CK Mapping
M12-18: Vollbetrieb 24/7, Red/Blue Team Exercises

<15 Min

Mean Time to Detect

<30 Min

Mean Time to Respond

<2 Std

Mean Time to Contain

<20%

False Positive Rate

99.9%

SOC Verfuegbarkeit

200+

Detection Rules

Elasticsearch SIEM Sigma Rules MITRE ATT&CK SOAR/Activepieces Threat Intelligence (MISP) MS Defender XDR Grafana Dashboards Prometheus Alerts

Benoetigt: Log-Infrastruktur, Netzwerk-Zugang, SIEM-Plattform, Threat Intel Feeds
Abhaengig davon: Incident Mgmt, Reporting, IT Risk Mgmt, Major Incident Mgmt
Team: 1 SOC Lead + 2-3 Analysten + Managed SOC-Partner

🔐

Identity & Access Management

IAM/PAM, RBAC, Lifecycle, MFA

1st Line ▼

Scope: Alle Identitaeten (Mitarbeiter, Service Accounts, externe Partner)
Ziel: Least Privilege, Zero Trust, vollstaendiger Identity Lifecycle
Regulatorik: DORA Art. 9, CSSF 25/881, MaRisk, BAIT, ISO 27001 A.8

M3-6: MFA Enforcement, SSO-Integration, RBAC-Grundkonzept
M6-9: PAM Vault (HashiCorp), Session Recording, JIT Access
M9-12: Access Reviews, SoD-Checks, AI-basierte Empfehlungen
M12-18: Vollautomatisierter Joiner/Mover/Leaver-Prozess

100%

MFA-Abdeckung

Orphaned Accounts

<24h

Provisioning Time

100%

Access Reviews

Active Directory Entra ID HashiCorp Vault IAM/PAM Add-on MS Graph API Conditional Access

Benoetigt: Active Directory, Vault, HR-Datenquelle
Abhaengig davon: SOC (Monitoring), Security Architecture, Compliance
Team: 1 IAM Engineer + 1 PAM Spezialist

⚠

IT Risk Management

Risikoidentifikation, Assessment, Register

2nd Line ▼

Scope: Alle IT-Assets und Informationstechnologie-Risiken
Ziel: Systematische Identifikation, Bewertung und Steuerung von IT-Risiken
Regulatorik: DORA Art. 5-8, CSSF 25/881, MaRisk AT 7.3, BAIT, ISO 27001

M1-3: IT Asset-Inventar, Klassifizierungsmethodik
M3-6: IT Risk Register, Bewertungsmethodik, erste Assessments
M6-9: Laufende Risikobewertung, Integration OpRes-Tests
M9-12: Risk Treatment Plans, automatisiertes Tracking

100%

Assets klassifiziert

Quartalsweise

Risk Review Zyklus

Kritische unbehandelte Risiken

Risk Register (Portal M4) CMDB (Portal M9) Vulnerability Scanner Threat Intelligence

Benoetigt: IS Governance (Policies), Asset-Inventar, Bedrohungsanalysen
Abhaengig davon: SOC, IAM, Hardening, OpRes Testing, Reporting
Team: CISO + 1 Risk Analyst

📜

IS Governance

Strategie, Policies, Standards, Frameworks

2nd Line ▼

Scope: Gesamte Informationssicherheitsorganisation HAFS-Group
Ziel: Etablierung eines wirksamen IS-Governance-Frameworks
Regulatorik: DORA Art. 5-6, CSSF 25/881, MaRisk AT 7.1-7.2, ISO 27001

M1-3: IS Mission Statement, Strategie-Entwurf, Policy-Framework
M3-6: Kern-Policies (IS Policy, Acceptable Use, Classification)
M6-9: Standards, Prinzipien, Sollmassnahmenkatalog
M9-12: Steuerungskomitee etabliert, Regulatory Watch aktiv

100%

Policies aktuell

Quartalsweise

Steuerungskomitee

90%+

Policy Acknowledgement

Governance-Modul (Portal M4) Policy Management Compliance Dashboard

Benoetigt: Management-Commitment, regulatorische Anforderungen
Abhaengig davon: Alle TOM-Funktionen (Governance definiert den Rahmen)
Team: CISO + 1 Governance-Spezialist

🔄

Business Continuity Management

BCM, BIA, DRP, Crisis Management

2nd Line ▼

Scope: BCM-Framework, BIA, DRP Oversight, Crisis Management
Ziel: Sicherstellung der Geschaeftskontinuitaet bei Stoerungen
Regulatorik: DORA Art. 11-12, CSSF 25/881, MaRisk AT 7.6, ISO 22301

M1-3: BCM-Policy, Recovery-Ziele definieren
M3-6: BIA-Methodik, erste BIA-Durchfuehrung
M6-9: DRP-Standards, Crisis-Management-Framework
M9-15: Vollstaendiges BCM mit Tests und Exercises

100%

Kritische Prozesse mit BIA

Jaehrlich

BCM-Tests

RTO/RPO

Eingehalten

Governance-Modul (Portal M4) BIA-Templates Crisis-Communication-Tool

Benoetigt: IS Governance, Management-Commitment, Asset-Inventar
Abhaengig davon: IT SCM, DRP, Crisis Mgmt, OpRes Testing
Team: 1 BCM Manager (kann CISO-Doppelrolle sein)

🔒

Security Architecture & Engineering

Security-by-Design, Technisches Interface

1st Line ▼

Scope: Security-by-Design bei neuen Architekturen und IT-Changes
Ziel: Sicherheitsanforderungen in technische Implementierung uebersetzen
Regulatorik: DORA Art. 7, CSSF 25/881, MaRisk, BAIT, ISO 27001 A.8

M1-3: Security Architecture Standards, Review-Checklisten
M3-6: Netzwerk-Security-Design, Cloud-Security-Baseline
M6-9: Security Review-Prozess fuer Changes etabliert
M9-12: Vollstaendiges Security-by-Design Framework

100%

Major Changes reviewed

<5 Tage

Review Durchlaufzeit

Architecture Review Board Threat Modeling Security Baselines Change Mgmt (Portal M10)

Benoetigt: IS Governance (Policies), IT-Strategie, Change-Prozess
Abhaengig davon: System Hardening, SOC, IAM/PAM
Team: 1 Security Architect

🚨

Incident & Problem Management

Detection, Response, Root Cause Analysis

1st Line ▼

Scope: Alle Security und IT-Incidents der HAFS-Group
Ziel: Schnelle Erkennung, Eindaemmung und Behebung von Vorfaellen
Regulatorik: DORA Art. 11, CSSF 24/847, MaRisk, BAIT, ISO 27001 A.5.24-28

M1-3: Incident-Klassifikationsschema, Eskalationsmatrix
M3-6: Incident-Response-Prozess, Ticketing-Integration
M6-9: Problem-Management-Prozess, Known Error Database
M9-12: Integration Major Incident mit DORA/CSSF-Meldepflichten

<4h

P1 Resolution

95%+

SLA Einhaltung

Ungemeldete Major Incidents

Ticketsystem (Portal M1) SIEM Alerts SOAR Playbooks Communication Tools

Benoetigt: SOC (Detection), Ticketing-System, Eskalationspfade
Abhaengig davon: Major Incident Mgmt, Reporting, Lessons Learned
Team: SOC-Team + IT-Operations + CISO (Major Incidents)

🔌

IT Service Continuity Management

IT-Recovery, Backup, RTO/RPO

1st Line ▼

Scope: IT-Recovery-Faehigkeiten fuer alle kritischen IT-Services
Ziel: Schnelle Wiederherstellung bei IT-Ausfaellen
Regulatorik: DORA Art. 11-12, CSSF 25/881, MaRisk AT 7.6, ISO 27001

M1-6: IT-Recovery-Plaene fuer kritische Systeme, RTO/RPO definiert
M6-9: Backup-Strategien validiert, Restore-Tests durchgefuehrt
M9-12: Vollstaendige IT-Kontinuitaetsdokumentation
M12-18: Regelmaessige Failover-Tests, Continuous Improvement

100%

Recovery-Plaene aktuell

Halbjaehrlich

Recovery-Tests

99.5%

Backup Success Rate

Veeam Backup VMware HA/DRS PostgreSQL Patroni Elasticsearch Snapshots IT Monitor Add-on

Benoetigt: BCM (Recovery-Ziele), BIA-Ergebnisse, Infrastruktur
Abhaengig davon: BCM, OpRes Testing, Reporting
Team: 1 IT SCM Verantwortlicher + IT-Operations

Applikationslandschaft

Vernetzte Applikationen & Module

Das Self-Help Portal als Zentrum mit 11 Kernmodulen und 3 eigenstaendigen Add-on-Applikationen.

◆ Self-Help Service Portal (Kernplattform)

M1 Ticketsystem

AI-Triage, Multi-Channel, SLA

M2 AI Services

Chatbot, Copilot, RAG, NLP

M3 Security Center

IAM Dashboard, Incidents, Vulns

M4 Governance

Policies, Risk, Compliance, Audit

M5 Service-Katalog

Self-Service, Approvals, SLA

M6 Knowledge Base

AI-Enrichment, Federated Search

M7 Automation

Activepieces Flows, Runbooks

M8 Analytics

Dashboards, KPIs, AI-Reports

M9 Asset Mgmt

CMDB, Lifecycle, Discovery

M10 Change Mgmt

CAB, Impact Analysis, Calendar

M11 Admin

User/Rollen, Config, Templates

◆ Eigenstaendige Add-on Applikationen

A1 - SIEM Add-on

Elasticsearch-basiert, Alert Engine, Sigma Rules, MITRE ATT&CK, SOAR Playbooks, Threat Intelligence, Forensik

A2 - IAM/PAM Add-on

Identity Lifecycle, Access Requests, PAM Vault, Session Recording, JIT Access, Access Reviews

A3 - IT Monitor Add-on

Infrastruktur-Dashboard, Health Map, CMDB-Light, Alerting, Capacity Planning, Network Monitoring

◆ Externe Cloud-Services & Bestehende Systeme

Microsoft 365 (E5)

Graph API, Teams, Exchange, SharePoint

Anthropic Claude API

LLM fuer Chatbot, RAG, Copilot

Active Directory

On-Prem AD + Entra ID Hybrid

MS Defender for Endpoint

EDR/XDR (M365 E5 Agent)

Microsoft Purview

DLP, Sensitivity Labels

HashiCorp Vault

Secrets, PAM Backend, PKI

Kommunikationsfluss zwischen Applikationen

Portal

Zentrale UI

↔

SIEM

Alerts → Tickets

↔

IAM/PAM

Access → Workflows

↔

IT Monitor

Health → Incidents

AI Gateway

Claude API

↔

Activepieces

Workflow Engine

↔

Elasticsearch

Search + SIEM

↔

Vault

Secrets + PAM

Implementierungsplan

24-Monats Roadmap & Priorisierung

Phasenweiser Aufbau mit parallelen Workstreams. Dringlichkeit und Abhaengigkeiten beruecksichtigt.

Gantt-Uebersicht

Q1 2026

Q2 2026

Q3 2026

Q4 2026

Q1 2027

Q2 2027

Phase 0: Foundation

M1-3

Phase 1: MVP

M3-6

Phase 2: Security

M6-9

Phase 3: Intelligence

M9-12

Phase 4: ITSM Complete

M12-15

IAM/PAM Add-on

M6-12+

SIEM Add-on

M7-12

IT Monitor Add-on

M9-12

Phase 0 - Monat 1-3 | KRITISCH

Foundation & Infrastruktur

Aufbau der gesamten On-Premises-Basis: VMware vSphere, RKE2 Kubernetes, Datenbanken, CI/CD.

VMware vSphere Cluster (ESXi, vCenter, DRS, HA)
VLAN-Architektur (6 VLANs + Firewall)
RKE2 Kubernetes Cluster (3 Control Plane, 5-15 Worker)
Datenbank-Stack: PostgreSQL Patroni, MongoDB, Redis, Elasticsearch, MinIO
HashiCorp Vault + Active Directory Integration
CI/CD: GitLab/GitHub, Harbor, Flux v2, SonarQube, Trivy
Monitoring: Prometheus, Grafana, Loki, Jaeger
Security Baseline: NGINX Ingress + WAF, Calico, OPA/Gatekeeper

● KRITISCH120-150 PT2-3 Personen

Phase 1 - Monat 3-6 | HOCH

MVP: Ticketsystem, AI, Service-Katalog

Go-Live der Kernfunktionalitaet: Tickets, Chatbot, Knowledge Base, Service-Katalog.

M1: Ticketsystem mit AI-Triage, SLA-Engine, Multi-Channel
M2: AI Gateway + Self-Help Chatbot (Claude Haiku 4.5), RAG Pipeline
M5: Service-Katalog (Top 20 Services, Approval-Workflows)
M6: Knowledge Base (50+ Artikel, Volltextsuche + Vektor-Suche)
M11: Admin (User/Rollen via AD, Konfiguration)
Portal Shell: React 19 / Next.js 15, SSO/OIDC, Teams Bot

● HOCH180-220 PT3-4 Personen

Phase 2 - Monat 6-9 | HOCH

Security, Governance & Add-ons

Security Center, IAM/PAM und SIEM Add-ons, Governance-Modul, Automation Engine.

IAM/PAM Add-on: Lifecycle, Access Requests, PAM Vault, Session Recording
SIEM Add-on (Basis): Elasticsearch SIEM, Log Collection, Alert Engine, SOC Dashboard
M3: Security Center mit Dashboard, Incident-Workflow, Vulnerability Mgmt
M4: Governance mit Policy Mgmt, Risk Register, Compliance Dashboard
M7: Activepieces Automation (10 Flows: Onboarding, Offboarding etc.)
M2 Erw.: Agent Copilot v1 (Claude Sonnet 4.5), Auto-Resolve, Sentiment

● HOCH200-250 PT3-4 Personen

Phase 3 - Monat 9-12 | MITTEL

Intelligence, Analytics & Erweiterung

Erweiterte AI, Analytics-Dashboards, IT Monitor Add-on, SIEM voll ausgebaut.

M8: Real-Time KPI Dashboard, Custom Reports, AI Executive Summary
IT Monitor Add-on: Infrastruktur-Dashboard, Health Map, CMDB-Light
SIEM Erweitert: Sigma Rules, MITRE ATT&CK, SOAR Playbooks, Forensik
AI Advanced: Predictive Analytics, Agent Copilot v2, Proaktive Alerts
Automation: 50+ Flows, Self-Healing, AI-Pieces
Governance Erw.: DORA Compliance, Automated Board Reporting

● MITTEL160-200 PT3-4 Personen

Phase 4 - Monat 12-15 | STANDARD

ITSM Complete

Vollstaendiges ITSM mit Asset Management, Change Management und Problem Management.

M9: CMDB / Asset Management mit Auto-Discovery
M10: Change Management mit CAB, AI Impact Analysis
Problem Management: Root Cause Analysis, Known Error Database

● STANDARD120-150 PT2-3 Personen

Governance & Compliance

Regulatorischer Rahmen & Controls

BaFin, DORA, CSSF, DSGVO, ISO 27001 - vollstaendig im Portal abgebildet.

Regulierung	Relevanz	Schwerpunkt	Portal-Modul
BaFin MaRisk (AT 7)	Direkt	IT-Risikomanagement, Auslagerungssteuerung	M4 Governance
BaFin BAIT	Direkt	IT-Governance, Informationssicherheit	M3+M4
DSGVO / GDPR	Direkt	Datenschutz, Betroffenenrechte	M4 Governance
DORA	Direkt	Digital Operational Resilience	M4+M3+Testing
CSSF 25/881, 24/847	Direkt	ICT Risk, Incident Reporting	M3+M4+Reporting
ISO 27001	Best Practice	ISMS	Alle Module
ITIL 4	Best Practice	IT Service Management	M1+M9+M10
NIS2	Indirekt	Netz- und Informationssicherheit	M3+M4

Annex A	Control-Bereich	Portal-Umsetzung
A.5	Informationssicherheitsrichtlinien	M4: Policy Management, Versionierung, Acknowledgement
A.6	Organisation der IS	M4: Rollen, Verantwortlichkeiten
A.7	Personalsicherheit	M1+M3: Onboarding-Checkliste, Offboarding
A.8	Asset Management	M9: CMDB, Klassifizierung, Lifecycle
A.9	Zugangssteuerung	M3/IAM/PAM: Access Requests, Reviews, RBAC, JIT
A.10	Kryptographie	M11: Vault Secret Management, Certificate Tracking
A.12	Betriebssicherheit	M7+M1: Change/Patch Management, Backup Monitoring
A.13	Kommunikationssicherheit	M3: Firewall-Regel-Anfragen, Netzwerk-Segmentierung
A.16	Sicherheitsvorfaelle	M3: Incident Response Workflow, SIEM-Integration
A.17	Business Continuity	M4: DR-Testing, BIA-Dokumentation
A.18	Compliance	M4: Audit Management, Compliance Dashboard

DORA-Anforderung	Portal-Umsetzung	Status
ICT Risk Management	Integriertes Risk Register mit AI-Bewertung	Phase 2
ICT Incident Reporting	Automatisierte Incident-Meldung und Tracking	Phase 2
Digital Operational Resilience Testing	DR-Tests dokumentiert und getrackt	Phase 3
ICT Third-Party Risk	Vendor-Management mit Risk-Scoring	Phase 3
Information Sharing	Threat Intelligence Integration (CERT-Bund, MISP)	Phase 3

Control-ID	Beschreibung	Frequenz	Typ
CTRL-IAM-01	Alle Accounts haben MFA aktiv	Taeglich	Auto
CTRL-IAM-02	Keine Orphaned Accounts	Woechentlich	Auto
CTRL-IAM-03	Access Reviews abgeschlossen	Quartalsweise	Semi-Auto
CTRL-PAM-01	Alle Passwoerter rotiert nach Nutzung	Per Event	Auto
CTRL-PAM-02	Alle Sessions aufgezeichnet	Per Event	Auto
CTRL-SEC-01	Vulnerability Scans durchgefuehrt	Woechentlich	Auto
CTRL-SEC-02	Critical Patches innerhalb 48h	Per Event	Semi-Auto
CTRL-OPS-01	Backup erfolgreich	Taeglich	Auto
CTRL-OPS-02	DR-Test durchgefuehrt	Halbjaehrlich	Manuell
CTRL-GOV-01	Policies aktuell (nicht abgelaufen)	Monatlich	Auto

Komponente	RTO	RPO	Strategie
Portal Frontend	5 min	0	Multi-Pod, Ingress HA
API Services	10 min	0	RKE2 Multi-Node, HPA
PostgreSQL	15 min	5 min	Patroni HA (3 Nodes), Streaming Replication
MongoDB	15 min	5 min	ReplicaSet (3 Nodes), Auto-Failover
Elasticsearch	15 min	5 min	Cluster (3+ Nodes), Snapshot/Restore
On-Prem Infrastruktur	60 min	15 min	VMware HA, vMotion, Veeam Backup

Rolle	PT (Min-Max)	Allokation
Solution Architect / Tech Lead	140-180 PT	80-100%
Senior Full-Stack Engineer	200-250 PT	100%
AI/ML Engineer	120-150 PT	80-100%
Platform Engineer	130-160 PT	100% → 50%
Security Engineer	90-120 PT	50% → 80% → 50%
Junior/Mid Full-Stack	60-80 PT	80-100%
UX Designer	20-30 PT	20-30%
QA Engineer	40-60 PT	30-50%

Anforderungen

Detaillierte Anforderungen pro Bereich

Alle Anforderungen aus dem TOM mit Zuordnung zu Modulen und Phasen.

Information Security Office 2nd Line ▼

Aufbau und kontinuierliche Weiterentwicklung der Information Security und Business Continuity Management-Funktion
Basierend auf regulatorischen Erwartungen (DORA, CSSF 25/881, 25/883, 24/847)
Budget- und Ressourcenplanung

ISO Involvement & Continuous Advisory (1st, 2nd, 3rd Line) 2nd Line ▼

Projects: Change Risk Assessments, kontinuierliche Beratung
Sicherheitsrelevante IT-Changes oder IT-Assets (inkl. physischer Assets) bewerten
Security Architecture und Design Review fuer groessere IT-Changes oder IT-Assets
Regulatory Interface (CSSF/CBI) fuer Informationssicherheitsthemen
Internes, externes und regulatorisches Reporting (z.B. Internal Audit, External Audit, ISAE, CSSF/CBI)
Szenarien fuer groessere (Cyber-)Bedrohungen und Recovery-Strategien in Zusammenarbeit mit BCM und ITSCM
Third-party/Supplier Management: Compliance mit Security-Anforderungen, Third-Party Reporting & Monitoring, Security Reviews
Access Management: Kritische Assets (z.B. Admin-Zugang), Aenderungen an Access Management oder Rollenkonzepten, Sonderzugriffe ueber Business/Function Roles hinaus

Third-party/Supplier Management (2nd Line - Oversight) 2nd Line ▼

Unterstuetzung von Due Diligences und RfP-Prozessen mit Review, Konsolidierung und Sign-Off von IS- und BCM-Inhalten
Koordination mit Vendor/Supplier Management

Third-party/Supplier Management (1st Line - Execution) 1st Line ▼

Security Reviews von Third-Parties/Suppliers zur Compliance-Pruefung gegen interne Security-Anforderungen
Third-Party Reports bewerten und laufendes Monitoring durchfuehren
Technischen Content fuer Due Diligences (auf HAFS Group) und als Teil des RfP-Prozesses erstellen
Vendor Risk Scoring und Contract Management (DORA Register)

Information Security Governance 2nd Line ▼

Mission Statement, Strategie, Security Policies, Standards, Prinzipien und Frameworks definieren und pflegen
Sollmassnahmen fuer IT-Assets definieren und dokumentieren
Monitoring-Prozesse und Regulatory Watch (EU, CSSF, CBI) implementieren
Steuerungskomitee / Koordination mit Oversight-Funktionen (Risk, Compliance, Internal Audit, Data Protection)
Regelmaessiges Management Reporting

Business Continuity Governance 2nd Line ▼

Policies und Standards definieren
Recovery-Ziele definieren und ueberwachen
BCM-Framework und -Ansatz definieren und pflegen
Zentrale Dokumentation von BCM-Aktivitaeten
Regulatorische Evidenz sicherstellen

IT Risk Management (2nd Line) 2nd Line ▼

Identifikation und Klassifizierung von Informations-(Technologie-)Assets
Risikoidentifikation und -bewertung (initial, ad-hoc und kontinuierlich) ueber alle IT-Assets
IT Risk Register aufsetzen und pflegen
Identifikation interner und externer Anforderungen (legal, regulatorisch, Bedrohungsszenarien, emerging Technologies etc.)
Operationelle Resilienz-Tests als Input fuer laufendes und effektives I(T) Risk Management nutzen
Risk Treatment Plans und Massnahmen-Tracking

Business Impact Analysis 2nd Line ▼

Methodik und Ansatz definieren
Durchfuehrung koordinieren und periodische Wartung sicherstellen
Ergebnisse challengen

Disaster Recovery Planning Oversight 2nd Line ▼

Anforderungen und Standards definieren
Testing von Design und Operating Effectiveness
Durchfuehrung koordinieren und periodische Wartung sicherstellen
Ergebnisse challengen

Crisis Management & Communication 2nd Line ▼

Governance und Eskalationslogik definieren
Kommunikationsrichtlinien definieren
Wirksamkeit ueberwachen (Monitor effectiveness)
Regulatorische Compliance sicherstellen

Major Security Incident Management 2nd Line ▼

Bewertung von (Security) Incidents in Uebereinstimmung mit DORA und CSSF 24/847
Incident Response-Koordination mit relevanten Stakeholdern
Incident Reporting (CSSF/CBI)
Koordination mit Operational Risk / ICT Risk Manager

Training & Awareness 2nd Line ▼

Massnahmen zur Steigerung des Security Awareness
Schulungen zur Informationssicherheit
Management Body Training mit Fokus auf ICT-Risiken
Phishing-Simulationen und Kampagnen
Training-Tracking und Compliance-Nachweis

Policy Exception Management 2nd Line ▼

Dokumentation und Pflege des Exception-Inventars
Review und Bewertung von Ausnahmen (Risiko, wirtschaftliche vs. InfoSec-Aspekte)
Laufendes Monitoring der Ausnahmen

Monitoring bestehender IS-Anforderungen 2nd Line ▼

Angemessenheit von Zugriffsrechten (Adequacy of access rights)
Stichprobenbasiertes Testing (Sample based testing)
Security Policy Compliance pruefen

Sollmassnahmenkatalog-Monitoring 2nd Line ▼

Kontinuierliche Verifizierung der Implementierung von Sollmassnahmen fuer (IT-)Assets
Empfehlung operativer Security-Anforderungen (Ist vs. Soll / current vs. target measures)

Testing & Exercises (2nd Line Oversight) 2nd Line ▼

Ziele definieren (Define objectives)
Testing als Teil der organisationsweiten operationellen Resilienz-Tests koordinieren
Ergebnisse challengen

Reporting 2nd Line ▼

Reporting an Management und Regulatoren
Risk Heat Map
Security Incidents
BCM Status
Monitoring von KPIs/KRIs und Metriken
BCM/OpRes-Testergebnisse
Management-Informationen
Exceptions

Information Security Program (ISP) Programm ▼

Programm zum Aufbau und zur Implementierung des TOM ueber 1st und 2nd Line
Koordination und Schnittstellen mit relevanten 1st und 2nd Line-Funktionen
Zeitrahmen: 24 Monate

Security Architecture & Engineering 1st Line ▼

Security-by-Design bei neuen Zielarchitekturen, groesseren IT-Changes oder IT-Assets
Technisches Interface zwischen Information Security, IT und Projektteams
Regulatorische Anforderungen und Security Policies in technische Anforderungen uebersetzen
Uebergabe von Security Controls an Operations/IT unterstuetzen
Beratung zu Netzwerk-Security, IAM, Cloud-Architekturen etc.

System & Infrastructure Hardening 1st Line ▼

Secure Configuration Baselines (z.B. CIS Standards)
Patch und Vulnerability Management
Firewall, IDS/IPS-Konfiguration
Endpoint Protection und EDR Deployment
Logging und Monitoring implementieren (in Zusammenarbeit mit IAM und SOC)

Security Operations Center (SOC) 1st Line ▼

24/7 Monitoring (Netzwerk, Services, Systeme, Applikationen)
Detection von Security Incidents
Incident Analysis und Forensics
Incident Response und Support
Cyber Threat Intelligence (Threat Monitoring, Indicators of Compromise (IoC))
Reporting und Kommunikation

Identity & Access Management (IAM) 1st Line ▼

Role-based Access Controls (RBAC)
Privileged Access Management (PAM)
Joiner/Mover/Leaver-Prozess
MFA und SSO-Implementierung und Enforcement
Monitoring, Rezertifizierung und SoD (Segregation of Duties) von Zugriffen

Operational Resilience Testing 1st Line ▼

Ausfuehrung technischer Resilienz-Tests (DRP, ITSCM-Tests, Failover-Simulationen, Backup/Restore-Validierungen, Infra Recovery Drills)
Cyber & operationelle Uebungen (Penetration Testing, Vulnerability Scanning, Phishing-Kampagnen, Red/Blue Team Exercises)
Szenario-basierte Tests (Krisen-/operative Szenarien in Zusammenarbeit mit BCM)

Incident & Problem Management 1st Line ▼

Detection, Logging, Klassifikation
Koordination der Aufloesung und Eskalation
Root Cause Analysis und praeventive Massnahmen
Integration in den Major (Security) Incident Management-Prozess (DORA, CSSF 24/847)

IT Service Continuity Management (IT SCM) 1st Line ▼

IT-Recovery-Faehigkeiten definieren und pflegen (Plaene, Prozeduren, RTO/RPO, Backup-Strategien)
IT-Kontinuitaetsdokumentation, Verantwortlichkeiten und Readiness pflegen
Continuous Improvement (Lessons Learned aus Incidents)
Integration mit BCM-Funktion

Physical Security 1st Line ▼

Zugangskontrollen zu Gebaeuden und geschuetzten Bereichen
Ueberwachung und Monitoring
Umgebungsschutz (Feuer, Wasser, Strom etc.)

Outsourcing Controlling & Oversight 1st Line ▼

Provider Oversight
Due Diligence Monitoring
Contract Management und (DORA) Register

Risk Management / Operational Risk 2nd Line ▼

Operationelles Risikomanagement basiert auf Input aus dem ICT Risk Management-Prozess von IS&R

Compliance 2nd Line ▼

Regulatory Monitoring und Advisory
Control und Oversight Activities
Reporting und Koordination mit Behoerden (CSSF)

Data Protection 2nd Line ▼

Monitoring der Compliance gemaess Datenschutzgesetzen und -regulierung
Beratung und Schulung
Koordination mit Behoerden und Betroffenen

Information Technology (IT) 1st Line ▼

IT-Strategie & Governance
IT-Operations
Application Development
IT Security Operations
Identity and Access Management (IAM)
IT Service Continuity Management
Operational Resilience Testing

Internal Audit 3rd Line ▼

Independent Assurance (end-to-end) ueber alle Business- und IT-Aktivitaeten
Risk-based Planning, Durchfuehrung von Audits
Reporting und Follow-up von Audit-Findings
Koordination mit Behoerden (CSSF)

Information Security & ResilienceTarget Operating Model

CISO TOM Gesamtuebersicht

Information Security Office

Security Governance

IT Risk Management

Security Architecture & Engineering

Security Operations Center (SOC)

Identity & Access Management

Incident & Problem Management

System & Infrastructure Hardening

Business Continuity Management

Operational Resilience Testing

Training & Awareness

Reporting & Management

ISO Involvement & Advisory

Sollmassnahmenkatalog-Monitoring

Policy Exception Management

Information Security Program (ISP)

IT Service Continuity Management

Three Lines of Defence

TOM Organisationsstruktur

RACI-Matrix

Maturity Assessment

IS Governance

IT Risk Management

SOC

IAM / PAM

Incident Management

BCM / DRP

Training & Awareness

Third-Party Security

Security Architecture

Compliance Monitoring

Physical Security

Data Protection

Regulatory Deep-Mapping

DORA - Digital Operational Resilience Act (Art. 5-15)

CSSF 25/881 - ICT Risk Management

CSSF 24/847 - ICT Incident Reporting

MaRisk AT 7 - IT-Risikomanagement

ISO 27001 - Annex A Controls

NIS2 - Netz- und Informationssicherheit

Dependency Map

IS Governance

IT Risk Mgmt

SOC

IAM / PAM

System Hardening

BCM Governance

BIA

DRP Oversight

IT SCM

Training & Awareness

Reporting

ISP (Programm)

Quick Wins & Priorisierungsmatrix

Detaillierte TOM-Funktionen

Security Operations Center (SOC)

Identity & Access Management

IT Risk Management

IS Governance

Business Continuity Management

Security Architecture & Engineering

Incident & Problem Management

IT Service Continuity Management

Vernetzte Applikationen & Module

M1 Ticketsystem

M2 AI Services

M3 Security Center

M4 Governance

M5 Service-Katalog

M6 Knowledge Base

M7 Automation

M8 Analytics

M9 Asset Mgmt

M10 Change Mgmt

M11 Admin

A1 - SIEM Add-on

A2 - IAM/PAM Add-on

A3 - IT Monitor Add-on

Information Security & Resilience
Target Operating Model