<!-- docId: IMS-MAP-CACC -->
<!-- status: entwurf -->
<!-- version: 1.1 -->
<!-- owner: Patrick Motsch -->
<!-- approver: Geschäftsführung PowerOn AG -->
<!-- approvedDate: -->
<!-- nextReview: 2027-06-03 -->
<!-- classification: intern -->
<!-- isoRefs: 27001:AnnexA; 9001:8 -->

# CACC / FINMA <-> ISO-Crosswalk

**Zweck:** Verknüpft die bestehenden Prozessdokumente (ursprünglich für **GLKB Cloud Assessment Criteria Catalogue (CACC)** und FINMA-Rundschreiben 2018/3 & 2023/1 erstellt) mit ihren neuen Speicherorten im IMS sowie den abgedeckten CACC-Punkten. Das Annex-A-Mapping für ISO 27001 ist das [SoA](../03_planung/statement-of-applicability-soa.md).

**Stand:** 2026-06-03
**Hinweis:** `[ZU PRÜFEN]` markiert Stellen, die vor einer Einreichung verifiziert werden müssen.

## Rahmenbedingungen

- **Hosting:** Infomaniak Public Cloud, Schweiz (`api.poweron.swiss`, `db.poweron.swiss`).
- **KI-Verarbeitung:** Inhaltsdaten gehen an externe LLM-Provider (Primär OpenAI/USA); abgesichert via AVV/DPA + EU-SCC + Neutralisierung.
- **Team:** 2-5 Personen; wo Katalogpunkte grössere Organisationen voraussetzen, greifen kompensierende Massnahmen.

## Dokumentenkarte -> neuer Ort + CACC-Punkte

| Dokument (neuer Ort in `ims/`) | CACC-Punkte |
|---|---|
| `02_fuehrung/informationssicherheitspolitik.md` | 49, 52, 56 |
| `05_betrieb/02_Zugriffsmanagement_IAM_PAM.md` | 25, 36, 37, 66, 67, 68, 69 |
| `05_betrieb/03_Mitarbeitersicherheit_und_Screening.md` | 23, 35, 37 |
| `05_betrieb/04_Verschluesselung_und_Schluesselmanagement.md` | 43, 44, 45, 46, 70, 71, 72 |
| `05_betrieb/05_Backup_und_Wiederherstellung.md` | 75, 87 |
| `05_betrieb/06_Business_Continuity_und_Disaster_Recovery.md` | 3, 79, 87 |
| `05_betrieb/07_Incident_Response_und_Meldewesen.md` | 19, 20, 27, 86 |
| `05_betrieb/08_Change_Management.md` | 81, 82, 83 |
| `05_betrieb/09_Patch_Management.md` | 78 |
| `05_betrieb/10_Schwachstellenmanagement.md` | 54, 59, 63, 84 |
| `05_betrieb/11_Logging_und_Monitoring.md` | 88, 89, 90, 91, 92, 93, 94 |
| `05_betrieb/12_Netzwerk_und_Infrastruktursicherheit.md` | 95, 96, 97, 98, 99 |
| `05_betrieb/13_Datenaufbewahrung_Loeschung_LegalHold.md` | 1, 2, 38, 72 |
| `05_betrieb/14_Exit_und_Transition.md` | 4, 5, 6, 22 |
| `05_betrieb/15_Sichere_Softwareentwicklung_SDLC.md` | 100, 101, 102 |
| `05_betrieb/16_Kapazitaetsmanagement.md` | 80 |
| `05_betrieb/17_Subunternehmer_Management.md` | 16, 31, 48, 53 |
| `05_betrieb/18_Analyse_Recht_und_BestPractice.md` | Befundbericht (intern) |
| `05_betrieb/20260528_drittanbieter-inventar.md` | 48, 53, 61 |
| `05_betrieb/20260528_datenbank-handling.md` | 2, 38, 75 (teilw.) |
| `05_betrieb/20260528_bcm_runbook.md` | 3, 87 (technisch) |
| `05_betrieb/20260528_feature_release_bugfix.md` | 81, 100, 101 (teilw.) |

## Offene Punkte (in Massnahmenregister überführt)

Die frühere Sammelliste offener Punkte wird jetzt zentral im [Massnahmenregister](../07_verbesserung/massnahmen-register.md) geführt (M-01 bis M-07 u. a.: at-rest-Verschlüsselung, MFA, Hintergrundprüfungen, Log-Retention, Restore-Test, AVVs, Testdaten).