Grundschutzerhebung (Sicherheitsnachweis). In Form eines Reports aus der Verwaltungssoftware weist der Auftragnehmer den Umsetzungsstand der sich aus der Modellierung ergebenden Sicherheitsanforderungen nach (Sicherheitsnachweis). Da- bei folgt die Dokumentation des Umsetzungsstandes dem vom BSI vorgegebenen Schema in fünf Stu- fen: Ja (Sicherheitsanforderungen sind vollständig umgesetzt) Teilweise (Sicherheitsanforderungen ist teilweise umgesetzt) Nein (Sicherheitsanforderungen ist nicht umgesetzt) Entbehrlich (Sicherheitsanforderungen /Baustein wird als nicht relevant bewertet) Unbearbeitet Der Report beinhaltet Angaben zur Durchführung der Prüfung (Datum, Personen), eine Beschreibung der Umsetzung, Verweise zum jeweils maßgeblichen Regelwerk des Auftragnehmers sowie bei Abwei- chungen eine Beschreibung der Abweichungen von IT-Grundschutz sowie den Umgang mit den festge- stellten Abweichungen (vgl. auch Kapitel 3.4). Sofern für den unter dieser Vereinbarung betrachteten Informationsverbund weitere Sicherheitskon- zepte maßgeblich sind, werden diese in diesem Ordner beigelegt.5 Teil-Sicherheitskonzepte, bei denen die verantwortliche Stelle nicht identisch mit dem hier relevanten Auftraggeber ist, können ohne Zustimmung der jeweils verantwortlichen Stelle nicht herausgegeben werden. Liegt dem Auftragnehmer eine entsprechende Freigabe vor, werden diese Teil-Sicherheitskon- zepte der Sicherheitsdokumentation im Ordner A.D0 beigefügt.
