| Vorwort | 6 |
| Inhaltsübersicht | 20 |
| Inhaltsverzeichnis | 21 |
| 1 Ausgangssituation und Zielsetzung | 33 |
| 1.1 Ausgangssituation | 35 |
| 1.1.1 Bedrohungen | 35 |
| 1.1.2 Schwachstellen | 49 |
| 1.1.3 Schadenshöhen, Schutzbedarfe | 52 |
| 1.2 Zielsetzung des Sicherheits-, Kontinuitäts- und Risikomanagements | 57 |
| 1.3 Lösung | 57 |
| 1.4 Zusammenfassung | 59 |
| 2 Kurzfassung und Überblick für Eilige | 61 |
| 3 Zehn Schritte zum Sicherheitsmanagement | 68 |
| 4 Gesetze, Verordnungen, Vorschriften, Anforderungen | 71 |
| 4.1 Persönliche Haftungsrisiken | 71 |
| 4.2 Haftungsrisiken von Unternehmen | 74 |
| 4.3 Risikomanagement | 74 |
| 4.4 Buchführung | 75 |
| 4.5 IT-Sicherheit kritischer Infrastrukturen/wesentlicher Dienste | 80 |
| 4.5.1 Deutschland | 80 |
| 4.5.2 Europäische Union | 85 |
| 4.6 Datenschutz | 86 |
| 4.6.1 Deutschland | 86 |
| 4.6.2 Österreich | 91 |
| 4.6.3 Schweiz | 91 |
| 4.6.4 Europäische Union | 91 |
| 4.6.5 USA | 94 |
| 4.7 Arbeitsschutz und Arbeitssicherheit | 95 |
| 4.8 Verträge | 95 |
| 4.9 Mitbestimmung | 96 |
| 4.10 Gleichbehandlung | 97 |
| 4.11 Weitere gesetzliche Anforderungen in Deutschland | 97 |
| 4.12 Energieversorgungsunternehmen | 98 |
| 4.13 Finanzinstitute und Versicherungsunternehmen | 100 |
| 4.13.1 Deutschland | 100 |
| 4.13.2 Europäische Union | 116 |
| 4.13.3 Basler Ausschuss für Bankenaufsicht | 117 |
| 4.14 Chemische Industrie | 119 |
| 4.14.1 Deutschland | 119 |
| 4.14.2 USA | 120 |
| 4.15 Behörden | 120 |
| 5 Normen, Standards, Practices | 122 |
| 5.1 Informationssicherheitsmanagement (ISM) | 122 |
| 5.1.1 BSI IT-Grundschutz im Überblick | 122 |
| 5.1.2 BSI-Standard 200-1, ISMS | 123 |
| 5.1.3 BSI-Standard 200-2, IT-Grundschutz-Methodik | 123 |
| 5.1.4 BSI-Standard 200-3, Risikoanalyse | 125 |
| 5.1.5 BSI-Standard 100-4, Notfallmanagement | 126 |
| 5.1.6 Vergleich der BSI-Standards mit der Sicherheitspyramide | 129 |
| 5.1.7 BSI IT-Grundschutz-Kompendium | 133 |
| 5.1.8 BSI-IT-Grundschutz-Kompendium versus Sicherheitspyramide | 135 |
| 5.1.9 ISO/IEC-27000-Familie zum ISM im Überblick | 136 |
| 5.1.10 ISO/IEC 27000:2016, Überblick und Vokabular | 140 |
| 5.1.11 ISO/IEC 27001:2013, ISMS – Requirements | 141 |
| 5.1.12 ISO/IEC 27002:2013, ISM – Code of practice for IS controls | 144 |
| 5.1.13 ISO/IEC 27003:2017, ISMS – Anleitung | 147 |
| 5.1.14 ISO/IEC 27004:2016, ISM – Measurement | 149 |
| 5.1.15 ISO/IEC 27005:2011, Information security risk management | 150 |
| 5.1.16 ISO/IEC 27010:2015, ISM for inter-sector and inter-organizational communications | 152 |
| 5.1.17 ISO/IEC 27013:2015, Guidance on the integrated implementation of ISO/IEC 27001 and ISO/IEC 20000-1 | 153 |
| 5.1.18 ISO/IEC 27014:2013, Governance of information security | 154 |
| 5.1.19 ISO/IEC TR 27016:2014, Wirtschaftlichkeit des ISM | 155 |
| 5.1.20 ISO/IEC 27017:2015, Leitfaden für Informationssicherheitsmaßnahmen bei Cloud-Services | 155 |
| 5.1.21 ISO/IEC 27018:2014, Leitfaden zum Schutz personenbezogener Daten in öffentlichen Clouds | 156 |
| 5.1.22 ISO/IEC 27019:2017, Informationssicherheit für Energieversorger | 156 |
| 5.1.23 ISO/IEC 27031:2011, Guidelines for ICT readiness for BC (IRBC) | 158 |
| 5.1.24 ISO/IEC 27032:2012, Guidelines for cybersecurity | 160 |
| 5.1.25 ISO/IEC 27033, Network security | 162 |
| 5.1.26 ISO/IEC 27034, Application security | 163 |
| 5.1.27 ISO/IEC 27035, Information security incident management | 165 |
| 5.1.28 ISO/IEC 27036, Information security for supplier relationships | 166 |
| 5.1.29 ISO/IEC 27037:2012, Guidelines for identification, collection, acquisition and preservation of digital evidence | 167 |
| 5.1.30 ISO/IEC 27039:2015, IDPS | 167 |
| 5.1.31 ISO/IEC 27040:2015, Storage Security | 169 |
| 5.1.32 IEC 62443, Netzwerk- und Systemsicherheit | 170 |
| 5.1.33 OECD Digital Security Risk Management | 171 |
| 5.1.34 PCI Data Security Standard (DSS) | 172 |
| 5.2 Business Continuity Management (BCM): Teil der ISO-22300-Familie | 172 |
| 5.2.1 ISO 22301:2012, BCM-System – Anforderungen | 172 |
| 5.2.2 ISO 22313:2012, BCMS – Anleitung | 174 |
| 5.3 Risikomanagement | 175 |
| 5.3.1 OCTAVE® Approach | 175 |
| 5.4 IT Service Management | 177 |
| 5.4.1 ISO/IEC 20000, IT Service Management | 177 |
| 5.4.2 ISO/IEC 19770, IT und Software asset management (ITAM, SAM) | 181 |
| 5.4.3 ITIL® im Überblick | 183 |
| 5.4.4 ITIL® Information Security Management | 185 |
| 5.4.5 ITIL® IT Service Continuity Management | 186 |
| 5.4.6 COBIT®, Version 5.0 | 187 |
| 5.5 Zusammenfassender Vergleich mit der Sicherheitspyramide | 190 |
| 5.6 Reifegradmodelle | 197 |
| 5.6.1 Systems Security Engineering – Capability Maturity Model® | 198 |
| 5.6.2 Software Assurance Maturity Model | 199 |
| 5.6.3 Information Technology Security Assessment Framework | 200 |
| 5.6.4 Maturity Model nach COBIT® 5 | 201 |
| 5.6.5 Zusammenfassung | 202 |
| 5.7 Federated Identity Management | 202 |
| 5.8 Architekturen | 204 |
| 5.8.1 Serviceorientierte Architektur (SOA) | 204 |
| 5.8.2 Open Grid Services Architecture® (OGSA®) | 216 |
| 5.8.3 OSGi™ Architecture | 217 |
| 5.9 Projektmanagement | 217 |
| 5.10 Entwicklungsmethoden | 218 |
| 5.11 Programmier-/Entwicklungsrichtlinien | 219 |
| 5.11.1 C, C++ und Java | 219 |
| 5.11.2 Webanwendungen | 220 |
| 5.11.3 AndroidTM | 221 |
| 5.12 Schwachstellen (Vulnerabilities) | 221 |
| 5.12.1 Identifikation | 221 |
| 5.12.2 Bewertung (Scoring) | 222 |
| 5.13 Schutz vor Insider-Bedrohungen | 223 |
| 5.14 Gute Praktiken (GxP) | 224 |
| 5.14.1 OECD: Gute Laborpraxis (GLP) | 224 |
| 5.14.2 PIC: Gute Herstellungspraxis (GMP) | 225 |
| 5.14.3 ISPE: Good Automated Manufacturing Practice, GAMP® 5 | 226 |
| 5.15 Prüfungsstandards für Dienstleistungsunternehmen | 227 |
| 6 Definitionen zum Sicherheits-, Kontinuitäts- und Risikomanagement | 229 |
| 6.1 Unternehmenssicherheitsmanagementsystem | 229 |
| 6.2 Informationssicherheitsmanagementsystem | 230 |
| 6.3 Sicherheitsmanagement | 232 |
| 6.4 IKT-Sicherheitsmanagement | 232 |
| 6.5 Ingenieurmäßige Sicherheit – Safety, Security, Continuity, Risk Engineering | 234 |
| 6.6 Sicherheitspyramide | 235 |
| 6.7 Sicherheitspolitik | 238 |
| 6.8 Sicherheit im Lebenszyklus | 240 |
| 6.9 Ressourcen, Schutzobjekte und -subjekte sowie -klassen | 241 |
| 6.10 Sicherheitskriterien (Grundwerte der Sicherheit) | 243 |
| 6.11 Geschäftseinflussanalyse (Business Impact Analysis) | 243 |
| 6.12 Geschäftskontinuität (Business Continuity) | 244 |
| 6.13 Sicherheit und Sicherheitsdreiklang | 244 |
| 6.14 Risiko und Risikodreiklang | 246 |
| 6.15 Risikomanagement | 248 |
| 6.16 Sicherheits-, Kontinuitäts- und Risikomanagement der IKT | 248 |
| 6.17 Zusammenfassung | 249 |
| 7 Die Sicherheitspyramide – Strategie und Vorgehensmodell | 252 |
| 7.1 Überblick | 253 |
| 7.2 Sicherheitshierarchie | 257 |
| 7.2.1 Sicherheits-, Kontinuitäts- und Risikopolitik | 257 |
| 7.2.2 Sicherheitsziele/Sicherheitsanforderungen | 257 |
| 7.2.3 Sicherheitstransformation und Sicherheitsmerkmale | 258 |
| 7.2.4 Sicherheitsarchitektur | 259 |
| 7.2.5 Sicherheitsrichtlinien | 259 |
| 7.2.6 Spezifische Sicherheitskonzepte | 260 |
| 7.2.7 Sicherheitsmaßnahmen | 261 |
| 7.3 PROSim | 261 |
| 7.4 Lebenszyklus von Prozessen, Ressourcen, Organisation, Produkten und (Dienst-)Leistungen (Services) | 262 |
| 7.4.1 Prozesslebenszyklus | 263 |
| 7.4.2 Ressourcen-/Systemlebenszyklus | 263 |
| 7.4.3 Organisationslebenszyklus | 264 |
| 7.4.4 Produkt- und Dienstleistungslebenszyklus | 264 |
| 7.5 Sicherheitsregelkreis | 264 |
| 7.6 Sicherheitsmanagementprozess | 265 |
| 7.7 Zusammenfassung | 265 |
| 8 Sicherheits-, Kontinuitäts- und Risikopolitik | 268 |
| 8.1 Zielsetzung | 269 |
| 8.2 Umsetzung | 270 |
| 8.3 Inhalte | 271 |
| 8.4 Praxisbeispiele | 274 |
| 8.4.1 Sicherheits-, kontinuitäts- und risikopolitische Leitsätze Versicherung | 274 |
| 8.4.2 Sicherheits-, Kontinuitäts- und Risikopolitik | 276 |
| 8.5 Zusammenfassung | 285 |
| 9 Sicherheitsziele/Sicherheitsanforderungen | 287 |
| 9.1 Sicherheits- und Kontinuitätskriterien | 289 |
| 9.2 Interne und externe Schutzanforderungen/Schutzbedarfe | 290 |
| 9.3 Schutzbedarfsklassen/Schutzniveaus | 290 |
| 9.4 Planungshorizont und zeitliche Staffelung | 291 |
| 9.5 Klassifizierung der Informations- und Datenkategorien | 292 |
| 9.6 Schutzbedarfsanalyse (SBA) | 295 |
| 9.6.1 Geschäftseinflussanalyse (Business Impact Analysis) | 296 |
| 9.6.2 Betriebseinflussanalyse (Operational Impact Analysis) | 298 |
| 9.7 Zusammenfassung | 299 |
| 10 Sicherheitsmerkmale | 300 |
| 10.1 Haus zur Sicherheit – House of Safety, Security, Continuity (HoSSC) | 301 |
| 10.2 Safety, Security and Continuity Function Deployment (SSCFD) | 302 |
| 10.2.1 Transformation der Anforderungen auf Sicherheitsmerkmale | 303 |
| 10.2.2 Detaillierung der Sicherheitsmerkmale | 304 |
| 10.2.3 Abbildung der Merkmale auf den Lebenszyklus | 305 |
| 10.3 Schutzbedarfsklassen | 306 |
| 10.4 Praxisbeispiele | 307 |
| 10.5 Zusammenfassung | 309 |
| 11 Sicherheitsarchitektur | 311 |
| 11.1 Überblick | 312 |
| 11.2 Prinzipielle/generische Sicherheitsanforderungen | 314 |
| 11.3 Prinzipielle/generische Bedrohungen | 314 |
| 11.4 Strategien und Prinzipien | 319 |
| 11.4.1 Risikostrategie (Risk Strategy), Risikolandkarte, Risikoklassen | 320 |
| 11.4.2 Sicherheits- und Kontinuitätsstrategie (Safety, Security and Continuity Strategy) | 322 |
| 11.4.3 Prinzip der Wirtschaftlichkeit | 323 |
| 11.4.4 Prinzip der Abstraktion | 323 |
| 11.4.5 Prinzip der Klassenbildung (Principle of Classification) | 324 |
| 11.4.6 Poka-Yoke-Prinzip | 325 |
| 11.4.7 Prinzip der Namenskonventionen (Principle of Naming Conventions) | 327 |
| 11.4.8 Prinzip der Redundanz (Principle of Redundancy) | 327 |
| 11.4.9 Prinzip des „aufgeräumten” Arbeitsplatzes (Clear Desk/Workplace Policy) | 331 |
| 11.4.10 Prinzip der Abwesenheitssperre | 331 |
| 11.4.11 Prinzip der Eigenverantwortlichkeit | 332 |
| 11.4.12 Vier-Augen-Prinzip (Confirmed Double Check/Dual Control Principle) | 332 |
| 11.4.13 Prinzip der Funktionstrennung (Segregation of Duties Principle) | 332 |
| 11.4.14 Prinzip der Sicherheitsschalen (Safety and Security Shell Principle) | 333 |
| 11.4.15 Prinzip der Pfadanalyse (Path Analysis Principle) | 334 |
| 11.4.16 Prinzip der gesicherten Identität | 335 |
| 11.4.17 Prinzip der gesicherten Kommunikation | 335 |
| 11.4.18 Prinzip der Ge- und Verbotsdifferenzierung | 336 |
| 11.4.19 Prinzip des generellen Verbots (Deny All Principle) | 336 |
| 11.4.20 Prinzip der Ausschließlichkeit | 336 |
| 11.4.21 Prinzip des minimalen Bedarfs (Need to Know/Use Principle) | 337 |
| 11.4.22 Prinzip der minimalen Rechte (Least/Minimum Privileges Principle) | 338 |
| 11.4.23 Prinzip der minimalen Dienste (Minimum Services Principle) | 338 |
| 11.4.24 Prinzip der minimalen Nutzung (Minimum Usage Principle) | 339 |
| 11.4.25 Prinzip der Nachvollziehbarkeit und Nachweisbarkeit | 339 |
| 11.4.26 Prinzip des „sachverständigen Dritten“ (Principle of Third Party Expert) | 339 |
| 11.4.27 Prinzip der Sicherheitszonen und des Closed-Shop-Betriebs | 340 |
| 11.4.28 Prinzip der Sicherheitszonenanalyse | 344 |
| 11.4.29 Prinzip des abgesicherten Ausfalls (Principle of Fail Safe and Fail Secure) | 344 |
| 11.4.30 Prinzip der Immanenz (Principle of Immanence) | 345 |
| 11.4.31 Prinzip der Konsolidierung (Principle of Consolidation) | 346 |
| 11.4.32 Prinzip der Standardisierung (Principle of Standardization) | 349 |
| 11.4.33 Prinzip der Plausibilisierung (Principle of Plausibleness) | 350 |
| 11.4.34 Prinzip der Konsistenz (Principle of Consistency) | 351 |
| 11.4.35 Prinzip der Untergliederung (Principle of Compartmentalization) | 352 |
| 11.4.36 Prinzip der Aufteilung | 352 |
| 11.4.37 Prinzip der Pseudonymisierung bzw. Maskierung | 353 |
| 11.4.38 Prinzip der Vielfältigkeit (Principle of Diversity) | 353 |
| 11.4.39 Distanzprinzip (Distance Principle) | 353 |
| 11.4.40 Prinzip der Vererbung | 355 |
| 11.4.41 Prinzip der Subjekt-Objekt-/Aktiv-Passiv-Differenzierung | 355 |
| 11.4.42 Prinzip der Wachsamkeit | 356 |
| 11.4.43 Prinzip der Regelschleife | 357 |
| 11.4.44 Prinzipien versus Sicherheitskriterien (Sicherheitsgrundwerte) | 357 |
| 11.5 Sicherheitselemente | 359 |
| 11.5.1 Prozesse im Überblick | 361 |
| 11.5.2 Konformitätsmanagement (Compliance Management) | 371 |
| 11.5.3 Datenschutzmanagement (Data Protection Management) | 375 |
| 11.5.4 Risikomanagement (Risk Management) | 380 |
| 11.5.5 Leistungsmanagement (Service/Service Level Management) | 394 |
| 11.5.6 Finanzmanagement (Financial Management) | 399 |
| 11.5.7 Projektmanagement (Project Management) | 400 |
| 11.5.8 Qualitätsmanagement (Quality Management) | 401 |
| 11.5.9 Ereignismanagement (Incident Management) | 402 |
| 11.5.10 Problemmanagement (Problem Management) | 409 |
| 11.5.11 Änderungsmanagement (Change Management) | 411 |
| 11.5.12 Releasemanagement (Release Management) | 415 |
| 11.5.13 Konfigurationsmanagement (Configuration Management) | 415 |
| 11.5.14 Lizenzmanagement (Licence Management) | 418 |
| 11.5.15 Kapazitätsmanagement (Capacity Management) | 420 |
| 11.5.16 Wartungsmanagement (Maintenance Management) | 423 |
| 11.5.17 Kontinuitätsmanagement (Continuity Management) | 424 |
| 11.5.18 Securitymanagement (Security Management) | 458 |
| 11.5.19 Architekturmanagement (Architecture Management) | 499 |
| 11.5.20 Innovationsmanagement (Innovation Management) | 514 |
| 11.5.21 Vertragsmanagement (Contract Management) | 518 |
| 11.5.22 Dokumentationsmanagement (Documentation Management) | 520 |
| 11.5.23 Personalmanagement (Human Resources Management) | 523 |
| 11.5.24 Ressourcen im Überblick | 530 |
| 11.5.25 Prozesse | 531 |
| 11.5.26 Informationen und Daten | 531 |
| 11.5.27 Dokumentationen | 531 |
| 11.5.28 IKT-Hardware und Software | 532 |
| 11.5.29 Infrastruktur | 579 |
| 11.5.30 Material | 580 |
| 11.5.31 Methoden und Verfahren | 580 |
| 11.5.32 Personal | 580 |
| 11.5.33 Organisation im Überblick | 581 |
| 11.5.34 Lebenszyklus im Überblick | 582 |
| 11.6 Interdependenznetz | 583 |
| 11.7 Hilfsmittel RiSiKo-Architekturmatrix | 585 |
| 11.8 Zusammenfassung | 586 |
| 12 Sicherheitsrichtlinien/-standards – Generische Sicherheitskonzepte | 588 |
| 12.1 Übergreifende Richtlinien | 589 |
| 12.1.1 Sicherheitsregeln | 589 |
| 12.1.2 Vorlage Prozessbeschreibung | 591 |
| 12.1.3 Vorlage Ressourcenbeschreibung | 594 |
| 12.1.4 Faxgeräte und Fax-Nutzung | 596 |
| 12.1.5 Drucker | 596 |
| 12.1.6 IKT-Benutzerordnung | 596 |
| 12.1.7 E-Mail-Nutzung | 608 |
| 12.1.8 Internet-Nutzung | 609 |
| 12.1.9 Cloud Computing | 610 |
| 12.2 Betriebs- und Begleitprozesse (Managementdisziplinen) | 613 |
| 12.2.1 Konformitätsmanagement | 613 |
| 12.2.2 Datenschutzmanagement | 614 |
| 12.2.3 Risikomanagement | 618 |
| 12.2.4 Kapazitätsmanagement | 623 |
| 12.2.5 Kontinuitätsmanagement | 625 |
| 12.2.6 Securitymanagement | 645 |
| 12.2.7 Architekturmanagement | 667 |
| 12.3 Ressourcen | 672 |
| 12.3.1 Zutrittskontrollsystem | 672 |
| 12.3.2 Passwortbezogene Systemanforderungen | 672 |
| 12.3.3 Firewall | 674 |
| 12.3.4 Wireless LAN (WLAN) | 675 |
| 12.4 Organisation | 676 |
| 12.5 Zusammenfassung | 677 |
| 13 Spezifische Sicherheitskonzepte | 679 |
| 13.1 Prozesse | 680 |
| 13.1.1 Kontinuitätsmanagement | 680 |
| 13.2 Ressourcen | 681 |
| 13.2.1 Betriebssystem | 681 |
| 13.3 Zusammenfassung | 681 |
| 14 Sicherheitsmaßnahmen | 682 |
| 14.1 Ressourcen | 682 |
| 14.1.1 Betriebssystem: Protokoll Passworteinstellungen | 682 |
| 14.2 Zusammenfassung | 683 |
| 15 Lebenszyklus – mit integrierter Sicherheit | 684 |
| 15.1 Übergreifendes | 687 |
| 15.2 Sichere Beantragung (Secure Proposal Application) | 688 |
| 15.3 Sichere Planung (Secure Planning) | 690 |
| 15.4 Sichere Fachkonzeption, sichere Anforderungsspezifikation (Secure Requirements Specification) | 690 |
| 15.5 Sichere technische Grobkonzeption (Secure Technical Basic Design) | 694 |
| 15.6 Sichere technische Feinkonzeption (Secure Technical Design) | 700 |
| 15.7 Sichere Entwicklung (Secure Development/Coding) | 702 |
| 15.8 Sichere Integrations- und Systemtest (Secure Integration/System Tests) | 707 |
| 15.9 Sichere Freigabe (Secure Approval) | 708 |
| 15.10 Sichere Software-Evaluation (Secure Software Evaluation) | 708 |
| 15.11 Sichere Auslieferung (Secure Delivery) | 709 |
| 15.12 Sicherer Abnahmetest und sichere Abnahme (Secure Acceptance) | 710 |
| 15.13 Sichere Software-Verteilung (Secure Software Deployment) | 711 |
| 15.14 Sichere Inbetriebnahme (Secure Startup Procedure) | 711 |
| 15.15 Sicherer Betrieb (Secure Operation) | 712 |
| 15.16 Sichere Außerbetriebnahme (Secure Decommissioning) | 713 |
| 15.17 Hilfsmittel erweiterte Phasen-Ergebnistypen-Tabelle (ePET) | 714 |
| 15.18 Zusammenfassung | 716 |
| 16 Sicherheitsregelkreis | 718 |
| 16.1 Sicherheitsprüfungen | 719 |
| 16.1.1 Sicherheitsstudie/Risikoanalyse | 719 |
| 16.1.2 Penetrationstests | 724 |
| 16.1.3 IKT-Security-Scans | 725 |
| 16.2 Sicherheitscontrolling | 726 |
| 16.3 Berichtswesen (SSCRPC-Reporting) | 728 |
| 16.3.1 Anforderungen | 728 |
| 16.3.2 Inhalte | 730 |
| 16.4 Safety-Security-Continuity-Risk-Privacy-Compliance-Benchmarks | 743 |
| 16.5 Hilfsmittel IKT-Sicherheitsfragen | 743 |
| 16.6 Zusammenfassung | 744 |
| 17 Reifegradmodell des Sicherheits-, Kontinuitäts- und Risikomanagements | 745 |
| 17.1 Reifegradmodell RiSiKo-Management | 745 |
| 17.1.1 Stufe 0: unbekannt | 746 |
| 17.1.2 Stufe 1: begonnen | 746 |
| 17.1.3 Stufe 2: konzipiert | 747 |
| 17.1.4 Stufe 3: standardisiert | 747 |
| 17.1.5 Stufe 4: integriert | 747 |
| 17.1.6 Stufe 5: gesteuert | 747 |
| 17.1.7 Stufe 6: selbst lernend | 748 |
| 17.2 Checkliste Reifegrad | 751 |
| 17.3 Praxisbeispiel | 753 |
| 17.4 Zusammenfassung | 754 |
| 18 Sicherheitsmanagementprozess | 755 |
| 18.1 Deming- bzw. PDCA-Zyklus | 755 |
| 18.2 Planung | 756 |
| 18.3 Durchführung | 758 |
| 18.4 Prüfung | 758 |
| 18.5 Verbesserung | 759 |
| 18.6 Zusammenfassung | 759 |
| 19 Minimalistische Sicherheit | 762 |
| 20 Verzeichnis der Abbildungen | 764 |
| 21 Verzeichnis der Tabellen | 766 |
| 22 Verzeichnis der Checklisten | 766 |
| 23 Verzeichnis der Beispiele | 767 |
| 24 Verzeichnis der Tipps | 769 |
| 25 Verzeichnis der Informationen | 770 |
| 26 Verzeichnis der Marken | 772 |
| 27 Verzeichnis über Gesetze, Vorschriften, Standards, Normen, Practices | 774 |
| 27.1 Gesetze, Verordnungen, Richtlinien | 774 |
| 27.1.1 Deutschland: Gesetze, Verordnungen | 774 |
| 27.1.2 Österreich: Gesetze, Verordnungen | 776 |
| 27.1.3 Schweiz: Gesetze, Verordnungen, Rundschreiben | 776 |
| 27.1.4 Großbritannien: Gesetze | 777 |
| 27.1.5 Europa: Entscheidungen, Richtlinien, Verordnungen, Practices | 777 |
| 27.1.6 USA: Gesetze, Practices, Prüfvorschriften | 779 |
| 27.2 Bestimmungen, Grundsätze, Vorschriften | 780 |
| 27.3 Standards, Normen, Leitlinien | 783 |
| Literatur- und Quellenverzeichnis | 812 |
| Glossar und Abkürzungsverzeichnis | 817 |
| Sachwortverzeichnis | 848 |
| Über den Autor | 896 |
