Ein funktionierendes Risikomanagementsystem geht damit einher, dass Risiken für eine Organisation analysiert und bewertet werden können. Bevor eine solche Analyse vorgenommen werden kann, sollte eine detaillierte Übersicht darüber vorhanden sein, wie die Organisation aufgebaut ist. Dazu müssen zuerst die zentralen Geschäftsprozesse der Organisation und deren Auswirkungen auf IT-Risiken erfasst werden. Zu diesem Zweck wird die Strukturanalyse durchgeführt. Die Strukturanalyse soll verdeutlichen, welche Objekte das Unternehmen besitzt, die geschützt werden müssen. Hierbei kann es sinnvoll sein, ähnliche Objekte zu Gruppen zusammenzufassen. Die Strukturanalyse ist eine Voraussetzung, um ein Sicherheitskonzept für Ihr Unternehmen aufzubauen. Darunter fallen auch Gebäude, Räume, Geschäftsprozesse, Geräte, Anlagen, Anwendungen sowie IT-Systeme. Ein Netzplan, der die Abläufe und die damit zusammenhängenden Abhängigkeiten von Anwendungen zum IT-System erfasst, verdeutlicht den Umfang und den Maßstab, in dem das Unternehmen seine Infrastrukturen betrachten und auf Risiken prüfen soll. Machen Sie es sich zum Ziel, eine Liste aller Zielobjekte zu erstellen, die über Schutzbedarf verfügen. Kennen Sie Ihre IT, Ihre Anwendungen, aber auch, wie die Systeme, Anwendungen und Arbeitsprozesse miteinander verflochten sind. Darüber hinaus sollten Sie sowohl Ihre Kommunikationswege kennen als auch darüber informiert sein, wo sich Ihre zu schützenden Daten und Informationen befinden. Der BSI-Standard 200-2 hilft Ihnen dabei, die Strukturanalyse umfassend durchzuführen und auf Ihr Unternehmen zu übertragen.