31.2 Ist-Analyse
 
31.2.1 Analyse der Aufbau- und Ablauforganisation
|
Skizzieren Sie z.B. in Form eines Organigramms den aktuellen Aufbau Ihrer Organisation. |
|
|
Erstellen Sie eine Abbildung aller Standorte mit den verfügbaren WAN-Leitungen zwischen den Standorten sowie deren Bandbreite. |
|
|
Benennen und beschreiben Sie den Zweck aller Standorte, Bereiche, Abteilungen und Abteilungsgruppen. |
|
|
Listen Sie die Anzahl der Netzwerkbenutzer in jedem Bereich der Organisation, die Anzahl der Netzwerkbenutzer an jedem Standort sowie die Gesamtanzahl der Netzwerkbenutzer auf. |
|
|
Beschreiben Sie, wie die Netzwerkbenutzer der einzelnen Abteilungen momentan das Netzwerk nutzen (Betriebssysteme, Anwendungen, Dienste). |
|
|
Beschreiben Sie, mit welchen Änderungen in der Aufbauorganisation kurzfristig (1 Jahr), mittelfristig (2 bis 3 Jahre) und langfristig gerechnet werden muss. |
|
|
Listen Sie geplante Änderungen bezüglich der WAN-Leitungen und der verfügbaren Bandbreiten auf. |
31.2.2 Analyse zum IT-Management
|
|
Skizzieren Sie die Aufbau- und Ablauforganisation des IT-Managements in Ihrer Organisation. |
|
|
Welche Aufgaben und Befugnisse sind zentral bzw. dezentral angesiedelt? |
|
|
Welche Abteilungen und Entscheidungsträger legen IT-Standards fest? |
|
|
Wird zentral oder dezentral über zu beschaffende Hardware oder einzuführende Software und andere einzuführende IT-Dienste entschieden? |
|
|
Wer ist für die Budgetierung verantwortlich? Wer genehmigt das Budget? |
|
|
Listen Sie alle ausgelagerten IT-Dienste auf und geben Sie die entsprechenden Lieferanten an. |
|
|
Beschreiben Sie den Entscheidungsfindungsprozess für das IT-Management Ihrer Organisation. |
|
|
Wie werden IT-Änderungen innerhalb des IT-Managements gehandhabt? |
|
|
Welche Abhängigkeiten gibt es bei den Herstellern von Hardware und Software? Handelt es sich um technische, logistische, monetäre oder politische Abhängigkeiten? |
|
|
Gibt es Vorlieben für bestimmte Hardware- oder Softwarehersteller oder Lieferanten? |
|
|
Welche Wartungs- und Supportverträge mit welcher Laufzeit gibt es? |
|
|
Gibt es Leasing- und Mietverträge bezüglich der Hardware oder Software? |
|
|
Welche Verträge mit welcher Laufzeit gibt es über die Nutzung von WAN-Leitungen und mit den Internet-Providern? Wie sind diese Verträge zu bewerten? Gäbe es kostengünstigere und technisch bessere Alternativen? |
|
|
Welche Komponenten des IT-Betriebs sind von Einzelpersonen abhängig, und was bedeutet es, wenn diese Einzelpersonen plötzlich ausfallen? |
|
|
Notieren Sie bekannte Schwierigkeiten oder Probleme, die in der Struktur des IT-Managements Ihrer Organisation begründet sind und Auswirkungen auf die Projektarbeit haben können. |
31.2.3 Analyse des Kommunikationsflusses
|
|
Welche Kommunikationsdienste werden in der Organisation zu welchen Zwecken benutzt? |
|
|
In welchen Sprachen wird kommuniziert? |
|
|
Listen Sie die Benutzer und Benutzergruppen auf, die die im Netzwerk verwalteten Kommunikationsdienste nutzen. Wozu benötigen die Benutzer die einzelnen Kommunikationsdienste? |
|
|
Wird auf diese Kommunikationsdienste zentral oder dezentral (z.B. über RAS oder VPN) zugegriffen? |
|
|
Wie groß sind das Datenaufkommen und die benötigte Bandbreite beim Zugriff über externe Leitungen? |
|
|
Gibt es Zugriffsbeschränkungen für die einzelnen Kommunikationsdienste? |
|
|
Liegt die Zuständigkeit für die Telefonanlage im Verantwortungsbereich der IT-Abteilung? Wie groß ist der aktuelle und zukünftig gewünschte Integritätsgrad zwischen Telefondiensten und Datendiensten? |
|
|
Wer ist für die Administration der Kommunikationsdienste zuständig? |
|
|
Gehören Themen wie Telearbeit, Videokonferenzen, Mobilcomputing zum Projektinhalt? |
|
|
Notieren Sie bekannte Schwierigkeiten oder Probleme mit den aktuell verwendeten Kommunikationsdiensten. |
31.2.4 Analyse der Netzwerkarchitektur
|
|
Skizzieren Sie die Netzwerkarchitektur Ihrer Organisation. Geben Sie hier die Netzwerkstandorte, die Anzahl der Benutzer pro Standort, die Leitungsverbindungen zwischen den Standorten und deren Bandbreiten an. |
|
|
Listen Sie die an jedem Standort verwendeten Netzwerkbetriebssysteme auf (Microsoft Windows, Novell NetWare, UNIX, Apple Macintosh). |
|
|
Listen Sie die TCP/IP-Subnetze an jedem Standort auf. Geben Sie an, ob und für welche Computer IP-Adressen statisch oder dynamisch vergeben werden. |
|
|
Geben Sie die Verbindungsgeschwindigkeit für alle lokalen Netzwerke an allen Standorten an. |
|
|
Listen Sie für jeden Standort die Server, deren Funktionen und die darauf ausgeführten Dienste auf. |
|
|
Listen Sie alle aktiven und passiven Komponenten auf (Router, Gateways, Bridges, Switches, Kabeltyp). |
|
|
Geben Sie die Standorte aller Firewalls im Netzwerk an. |
|
|
Notieren Sie bekannte Schwierigkeiten oder Probleme, die in der aktuellen Netzwerkarchitektur Ihrer Organisation auftreten. |
|
|
Welche Komponenten sind technisch überaltert oder an der Grenze ihres Leistungsvermögens? |
|
|
Skizzieren Sie bereits eine vorhandene Windows-NT-Architektur Ihrer Organisation. Kennzeichnen Sie vorhandene Domänen hierbei als Ovale. Verwenden Sie Pfeile, um die Richtung der Vertrauensstellungen zwischen diesen Domänen auszudrücken. |
|
|
Geben Sie die Standorte der Domänencontroller im Netzwerk an. |
|
|
Analysieren Sie bereits vorhandene Exchange-5.0/5.5-Organisationen oder andere E–Mail-Systeme. |
31.2.5 Analyse der Namenskonventionen
|
|
Welche Konventionen gibt es in Ihrem Unternehmen bezüglich der Namensgebung und der Beschreibungsfelder für: |
|
|
|
Domänen |
|
|
|
Standorte |
|
|
|
Server |
|
|
|
Workstations |
|
|
|
Netzdrucker |
|
|
|
lokale Drucker |
|
|
|
weitere Peripheriegeräte |
|
|
|
aktive und passive Netzwerkkomponenten wie Router, Switches, Verteilerschränke usw. |
|
|
|
Benutzer (Kennung, vollständiger Name, Anzeigename, SMTP-Adresse) |
|
|
|
Benutzergruppen |
|
|
|
E–Mail-Verteiler |
|
|
|
Freigaben von Verzeichnissen |
|
|
|
Partitionen und Verzeichnisse |
|
|
|
weitere Objekte |
|
|
Wie viele und welche Zeichen sind bei der Namensvergabe erlaubt? |
|
|
Wenn sich Ihre Organisation über mehrere Länder verteilt, werden einheitliche oder sprachspezifische Namenskonventionen in den einzelnen Standorten verwendet? |
|
|
Wenn es mehrere getrennte Domänen gibt, die eventuell in einer Domäne oder in einer Active-Directory-Gesamtstruktur zusammengeführt werden sollen, wie viele Namen sind derzeit doppelt belegt und müssten geändert werden? |
|
|
Welche Namenskonventionen müssen bei der Einführung von Active Directory geändert werden, weil die Eindeutigkeit sonst nicht gegeben ist oder weil verwendete Zeichen unter Active Directory zu Problemen führen könnten (Sonderzeichen, Leerzeichen, Länge der verwendeten Namen, Doppelbelegung). |
31.2.6 Analyse der Serverstruktur
|
|
Welche Typen von Servern werden an welchen Standorten eingesetzt, und welches Betriebssystem in welcher Version und in welcher Sprache läuft auf diesen Servern? |
|
|
|
Dateiserver |
|
|
|
Druckserver |
|
|
|
Anmeldeserver (Domänencontroller) |
|
|
|
Mitgliedsserver (keine Domänencontroller) |
|
|
|
Mailserver bzw. Groupwareserver |
|
|
|
Datenbankserver |
|
|
|
Anwendungsserver |
|
|
|
Terminalserver |
|
|
|
Server zur Softwareverteilung und Patchverteilung |
|
|
|
Internetserver |
|
|
|
Proxy-Server |
|
|
|
DNS-, DHCP-, WINS-Server |
|
|
|
Firewall-Server |
|
|
|
Sicherungsserver |
|
|
|
Weitere Servertypen und Serverrollen |
|
|
Wie sind die Server hardwaretechnisch ausgestattet? |
|
|
|
Prozessoranzahl und Leistung |
|
|
|
RAM-Ausstattung |
|
|
|
Festplattencontroller |
|
|
|
Anzahl, Größe und Zugriffsgeschwindigkeit der Serverfestplatten |
|
|
|
RAID-Level der Festplatten |
|
|
|
Clustertechnik |
|
|
|
NAS-Technik (Network Attach Storage) |
|
|
|
Anschluss an SAN (Storage Area Network)Verwendung von iSCSI |
|
|
|
CD-ROM- bzw. DVD-Laufwerk |
|
|
|
Anzahl und Art der Netzwerkkarten |
|
|
|
Anschluss an Backbone |
|
|
|
Streamer |
|
|
|
Weitere Ausstattung und Eigenschaften |
|
|
Welche Protokolle und welche Ports sind für den Zugriff auf die Server zugelassen? |
|
|
Wie werden sie gesichert und vor Viren, Spyware, Spam etc. geschützt? |
|
|
Wer ist in welchem Umfang für die Server zuständig (Beschaffung, Installation, Ausbau, Wartung, Backup und Restore, Disaster Recovery, Virenschutz)? |
|
|
Wie sind die Server vor unberechtigtem Zugang gesichert? |
|
|
|
Welche Administratorengruppen dürfen sich an der Konsole der Server anmelden, nur von Workstations aus administrierend zugreifen oder die Server über WAN-Leitungen bzw. über externe Leitungen warten? |
|
|
|
Gibt es Serverräume mit Zugangskontrolle, Klimaanlagen und Feuerschutz? |
|
|
Wie ist die Ausfallsicherheit und Verfügbarkeit gewährleistet? |
|
|
|
RAID-Level |
|
|
|
Redundante Komponenten |
|
|
|
Cluster, SAN, NAS, iSCSI |
|
|
|
Ausfall-Rechnerraum in einem anderem Gebäude |
|
|
|
Ausfallserver oder Notrechenzentrum an anderen Standorten |
|
|
|
Disaster-Recovery-Konzepte |
31.2.7 Analyse von DNS, DHCP, WINS
|
|
Welche Art von Namensräumen und DNS-Diensten gibt es? |
|
|
Geben Sie den Standort der DNS-, DHCP- und WINS-Server an. |
|
|
Werden DHCP-Adressen statisch oder dynamisch zugewiesen? |
|
|
Welchen Geräten sind feste IP-Adressen, welchen Geräten sind dynamische IP-Adressen zugewiesen? |
|
|
Wie werden NetBIOS-Namen bekannt gemacht? |
|
|
Wo sind die Grenzen für die Namensauflösung von NetBIOS-Namen bzw. DHCP-Requests von Clients an DHCP-Server? |
|
|
Wie ist die Organisation an das Internet angebunden? |
|
|
Beschreiben Sie eventuell vorhandene demilitarisierte Zonen und Proxy-Server. |
|
|
Welche Subnetze und welche IP-Adressräume gibt es? |
31.2.8 Analyse der technischen Standards
|
|
Beschreiben Sie Typen von PC-Arbeitsplätzen, die in Ihrem Unternehmen vorkommen: Standardarbeitsplatz, Entwicklerarbeitsplatz, diskless Workstations, Laptop-Benutzer, Telearbeitsplätze, CAD-Arbeitsplätze, Computerarbeitsplätze mit speziellem technischen Equipment, Kiosk-Computer für Besucher oder Kunden, Computer, die die Produktion überwachen, Terminalserverclients usw. |
|
|
Wenn Sie Standorte im Ausland haben: Werden Tastaturen mit unterschiedlichen Tastenbelegungen verwendet? Werden sprachspezifische Betriebssysteme und Anwendungen eingesetzt? |
|
|
Gibt es standardisierte Hardwarekonfigurationen für Server, Desktops, Laptops, Drucker und andere Peripheriegeräte sowie Standards für Netzwerkkomponenten wie Netzwerkkarten, Router, Switches usw.? |
|
|
Welche Verfahren und Vorschriften gibt es für die Anforderungen, Beschaffung, Wartung und Garantieleistungen von Software und Hardware? |
|
|
Welche Sicherheitsrichtlinien gibt es bezüglich der Einstellungen von Kennwortlänge und –komplexität, Kontosperrung, Verschlüsselung von Daten auf Laptop-Festplatten oder externen Speichern wie USB-Sticks, Internetbenutzung, Zugang zu den Systemen von innen und außen (über das Internet, VPN, gemietete Leitungen, RAS, wireless LAN, Anschluss externer Speichergeräte über USB, Firewire oder Bluetooth)? |
|
|
Welche Namenskonventionen für Benutzer, Gruppen, Geräte und Domänen gelten? |
|
|
Gibt es eine Klassifizierung der Datenbestände hinsichtlich der Datensicherheit und des Datenschutzes? |
|
|
Mit welchen Methoden werden neue Clients erstmalig installiert (Betriebssystem, Anwendungen, Service Packs, Hotfixes, Antiviren-Programme)? |
|
|
Mit welchen Mitteln werden Updates, Hotfixes, neue Anwendungen und Antiviren-Dateien verteilt und gewartet? |
|
|
Mit welchen Mitteln inventarisieren Sie die eingesetzte Hardware und Software? |
|
|
Welche Management-Tools setzen Sie zur Leistungs- und Fehlerüberwachung ein? |
|
|
Welche Antiviren-Software wird auf den verschiedenen Servertypen (Datei-, Mail-, Datenbank-, Internetserver) und auf den Clients eingesetzt? |
|
|
Listen Sie die Sicherheitsstandards auf, die in Ihrer Organisation gelten. |
|
|
Von welchen Bereichen der Organisation werden diese Standards nicht eingehalten? |
|
|
Notieren Sie bekannte Schwierigkeiten oder Probleme, die bei den aktuell in Ihrer Organisation verwendeten Standards auftreten. |
31.2.9 Analyse zur Hardware
|
|
Listen Sie die in Ihrer Organisation verwendeten Hardwaregeräte auf: Server, Workstations, Laptops, Drucker, Scanner, Plotter, Router, Switches, Streamer, Grafikkarten, Netzwerkkarten, Monitore, Spezialhardware zur Produktionssteuerung, Zugangskontrollsysteme, Karten- und Chiplesegeräte, Notstromversorgung usw. |
|
|
Markieren Sie alle Komponenten, die nicht mit Windows Server 2000/2003 bzw. mit Windows XP oder Windows Vista kompatibel sind. |
|
|
Wenn sich Ihr Unternehmen über mehrere Länder erstreckt, notieren Sie die eingesetzten sprachspezifischen Komponenten (verschiedene Tastaturlayouts). Welche Probleme ergeben sich daraus? |
|
|
Welche Herstellertypen von Servern werden wo eingesetzt? |
|
|
Wie sind die Server hardwaretechnisch ausgestattet? |
|
|
Mit welcher Hardware werden die Server gesichert und vor Viren geschützt? |
|
|
Wer ist in welchem Umfang für die Server zuständig (Beschaffung, Installation, Ausbau, Wartung, Backup und Restore, Disaster Recovery, Virenschutz)? |
|
|
Gibt es Serverräume mit Zugangskontrolle, Klimaanlagen, Feuerschutz? |
|
|
Wie ist die Ausfallsicherheit und Verfügbarkeit gewährleistet (RAID-Level, redundante Komponenten, Cluster, Ausfall-Rechnerraum in einem anderen Gebäude, Ausfallserver oder Notrechenzentrum an anderen Standorten)? |
|
|
Mit welchen Mitteln inventarisieren Sie die eingesetzte Hardware? |
|
|
Welche Management-Tools setzen Sie zur Leistungs- und Fehlerüberwachung ein? |
|
|
Welche Antiviren-Software wird auf den verschiedenen Servertypen (Datei-, Mail-, Datenbank-, Internetserver) und auf den Clients eingesetzt? |
|
|
Notieren Sie Schnittstellenprobleme, die zwischen den eingesetzten Hardwarekomponenten auftreten. |
|
|
Notieren Sie bekannte Schwierigkeiten oder Probleme, die bei der aktuell in Ihrer Organisation installierten Hardware auftreten. |
31.2.10 Analyse zur Software
|
|
Listen Sie die in Ihrer Organisation eingesetzte Software auf: |
|
|
|
Textverarbeitung |
|
|
|
Tabellenkalkulation |
|
|
|
Datenbankanwendungen |
|
|
|
Grafikprogramme |
|
|
|
E–Mail-Programme |
|
|
|
Groupware |
|
|
|
Kaufmännische Anwendungen |
|
|
|
CAD |
|
|
|
Technische Anwendungen |
|
|
|
Projektmanagement-Software |
|
|
|
Sicherungssoftware |
|
|
|
Programme zum Schutz vor Viren, Spyware, Spam etc. |
|
|
|
IT-Management-Tools |
|
|
|
Synchronisationssoftware für mobile Geräte wie Handys |
|
|
|
Software für Telefonie (Anschluss an Telefonanlage, Voice over IP) |
|
|
|
Weitere Software |
|
|
Werden für die gleichen Aufgaben unterschiedliche Anwendungen oder unterschiedliche Versionen derselben Anwendungen eingesetzt? |
|
|
Werden verschiedene Sprachversionen eingesetzt? |
|
|
Welche Anwendungen sind untereinander inkompatibel? |
|
|
Mit welchen Mitteln inventarisieren Sie die eingesetzte Software? |
|
|
Welche Anwendungen sind zu Windows Server 2000/2003, Windows XP, Windows Vista, oder Office XP/2003/2007 inkompatibel? |
|
|
Welche Komponenten sind nicht mit Exchange Server kompatibel? |
|
|
Bieten die Hersteller bereits neuere Versionen an, die mit den Microsoft-Produkten kompatibel sind? Ist damit zu rechnen, dass die Hersteller bis zur Einführung des neuen Systems zu den Microsoft-Produkten kompatible Versionen anbieten werden, oder gibt es alternative Produkte von anderen Herstellern, die kompatibel sind? |
|
|
Notieren Sie bekannte Schwierigkeiten oder Probleme, die bei der aktuell in Ihrer Organisation installierten Software auftreten. |
|
|
Notieren Sie Schnittstellenprobleme, die zwischen den eingesetzten Hardware- und Softwarekomponenten auftreten. |
|
|
Notieren Sie Inkompatibilitäten der Datenformate zwischen den eingesetzten Komponenten. |
|
|
Notieren Sie Sicherheitsprobleme der eingesetzten Software. |
|
|
Gibt es Gesetzesvorschriften oder Richtlinien zur Arbeitssicherheit, die von den eingesetzten Produkten nicht erfüllt werden? |
31.2.11 Analyse der Datenbestände und der Zugriffsbeschränkungen
|
|
Listen Sie die Datenbestände und Informationen auf, die im Netzwerk gespeichert und verwaltet werden, und geben Sie den jeweiligen Standort dieser Daten an. |
|
|
Listen Sie auf, welche Daten zentral auf Servern bzw. dezentral auf Computern und Laptops gespeichert werden. |
|
|
Geben Sie an, wie und in welchen Zyklen die Daten hardware- und softwaretechnisch gesichert werden. |
|
|
Listen Sie die Benutzer oder Benutzergruppen auf, die Zugriff auf die verschiedenen Datenbestände benötigen. Begründen Sie kurz, warum die Benutzer Zugang zu diesen Daten benötigen. |
|
|
Notieren Sie, wie Zugriffsbeschränkungen realisiert sind. |
|
|
Erstellen Sie eine Tabelle, aus der alle Arten von Sicherheitsgruppen und Verteilerlisten und deren Verschachtelung hervorgehen. |
|
|
Welche Mitarbeiter bzw. Gruppen von Mitarbeitern sind für die Administration der Daten verantwortlich? |
|
|
Welche Mitarbeiter bzw. Gruppen von Mitarbeitern sind für die Einrichtung von Benutzer- und Gruppenkonten, von Computerkonten, von Verzeichnissen auf den Servern und für die Zuweisung von Rechten zu den Datenbeständen zuständig? |
|
|
Wer ist für Backup und Restore, Disaster Recovery dieser Datenbestände und für den Schutz vor Viren verantwortlich? |
|
|
Listen Sie alle Daten und Informationen auf, die von den bestimmten Abteilungen oder einzelnen internen oder externen Anwendern genutzt, jedoch von einer anderen Abteilung gespeichert und verwaltet werden. Benennen Sie die Abteilung, die für die Speicherung und Verwaltung der Informationen verantwortlich ist. |
|
|
Gibt es Datenbestände, die an externe Stellen transferiert werden, z.B. an Banken, Lieferanten, Kunden, das Statistische Bundesamt? |
|
|
Wer ist in Ihrem Unternehmen für Datenschutz verantwortlich? |
|
|
Gibt es eine Klassifizierung der Datenbestände hinsichtlich Datensicherheit und Datenschutz, Verfügbarkeit und Wichtigkeit für das Unternehmen? |
31.2.12 Analyse der Sicherheitsstandards
|
|
Wie ist die Ausfallsicherheit und Verfügbarkeit gewährleistet (RAID-Level, redundante Komponenten, Cluster, Notstromversorgung, Ausfall-Rechnerraum in einem anderen Gebäude, Ausfallserver oder Notrechenzentrum an anderen Standorten)? |
|
|
Wie werden die Dienste und Datenbestände gesichert und vor Viren, Spyware etc. geschützt? |
|
|
Wer ist in welchem Umfang für die Sicherheit der IT-Dienste und Server zuständig (Zugangskontrolle, Change-Management, Backup und Restore, Disaster Recovery, Virenschutz)? |
|
|
Gibt es Serverräume mit Zugangskontrolle, Klimaanlagen, Feuerschutz? |
|
|
Welche Richtlinien gibt es für die Einrichtung von Passwörtern? |
|
|
Wer darf Benutzer- und Computerkonten, Sicherheitsgruppen und E–Mail-Verteiler einrichten und Rechte auf Dateibestände vergeben? |
|
|
Wer ist für die Sicherheit von Firewalls, WAN-Leitungen und des Internetzugangs verantwortlich? |
|
|
Sind alle wichtigen Passwörter schriftlich an sicherer Stelle (z.B. im Firmensafe) hinterlegt? |
|
|
Sind die Seriennummern der Softwareprodukte an sicherer Stelle hinterlegt? |
|
|
Sind wichtige Adressen externer Ansprechpartner an zentraler Stelle hinterlegt? |
|
|
Wo werden Sicherungsbänder deponiert? |
|
|
Welche Notfallpläne gibt es für Disaster Recovery? |
|
|
Sind die Mitarbeiter der IT-Abteilung für ein Disaster Recovery ausreichend geschult? |
|
|
Sind die Anwender hinsichtlich der Datensicherheit und des Datenschutzes ausreichend sensibilisiert und geschult? |
|
|
Gibt es Gesetzesvorschriften oder Richtlinien zur Arbeitssicherheit, die von der IT-Infrastruktur nicht erfüllt werden? |
|
|
Notieren Sie Sicherheitsprobleme in der bestehenden IT-Infrastruktur. |
|
