# Organisationsprioritäten
Um die Prioritäten festlegen zu können, die den geschäftlichen Erfolg ermöglichen, müssen Ihre Teams gemeinsam in Erfahrung bringen, wie sämtliche Workloads aussehen, welche Rolle die einzelnen Teams dabei spielen und was für geschäftliche Ziele damit erreicht werden sollen. Mit gut definierten Prioritäten erzielen Ihre Bemühungen den größtmöglichen Nutzen. Überprüfen Sie Ihre Prioritäten regelmäßig, damit sie aktualisiert werden können, wenn sich die Bedürfnisse Ihrer Organisation ändern.
**Topics**
+ [OPS01-BP01 Bewerten der Bedürfnisse externer Kunden](ops_priorities_ext_cust_needs.md)
+ [OPS01-BP02 Evaluieren Sie die internen Kundenbedürfnisse](ops_priorities_int_cust_needs.md)
+ [OPS01-BP03 Bewertung der Governance-Anforderungen](ops_priorities_governance_reqs.md)
+ [OPS01-BP04 Bewerten der Compliance-Anforderungen](ops_priorities_compliance_reqs.md)
+ [OPS01-BP05 Bewerten Sie die Bedrohungslandschaft](ops_priorities_eval_threat_landscape.md)
+ [OPS01-BP06 Bewerten von Kompromissen und Abwägen der Vorteile und Risiken](ops_priorities_eval_tradeoffs.md)
# OPS01-BP01 Bewerten der Bedürfnisse externer Kunden
Binden Sie alle wichtigen Stakeholder ein, einschließlich Geschäfts-, Entwicklungs- und Betriebsteams, um zu bestimmen, welche Bereiche verstärkt auf die Bedürfnisse der externen Kunden ausgerichtet werden müssen. Dadurch wird sichergestellt, dass Sie mit der betrieblichen Unterstützung vertraut sind, die erforderlich ist, um die gewünschten geschäftlichen Ergebnisse zu erzielen.
**Gewünschtes Ergebnis:**
+ Sie arbeiten rückwärts von den Kundenergebnissen aus.
+ Sie wissen, wie Ihre betrieblichen Praktiken Geschäftsergebnisse und -ziele unterstützen.
+ Sie binden alle relevanten Parteien ein.
+ Sie verfügen über Mechanismen, um die Bedürfnisse externer Kunden zu erfassen.
**Typische Anti-Muster:**
+ Sie haben sich entschieden, außerhalb der Kerngeschäftszeiten keinen Kundenservice zu bieten, aber Sie haben dazu keine historischen Supportanfragedaten analysiert. Daher wissen Sie nicht, ob diese Entscheidung Auswirkungen auf Ihre Kunden hat.
+ Sie entwickeln ein neues Feature, haben aber Ihre Kunden nicht miteinbezogen, um herauszufinden, ob die Funktion erwünscht ist und wie sie genau aussehen sollte. Außerdem haben Sie keine Tests durchgeführt, um die Nachfrage und die Methode der Bereitstellung zu validieren.
**Vorteile der Nutzung dieser bewährten Methode:** Kunden, deren Anforderungen erfüllt sind, bleiben mit höherer Wahrscheinlichkeit als Kunden erhalten. Die Bewertung und das Verständnis externer Kundenbedürfnisse liefert die Grundlage dafür, wie Sie Ihre Anstrengungen zur Bereitstellung eines geschäftlichen Mehrwerts priorisieren.
**Risikostufe, wenn diese bewährte Methode nicht eingeführt wird:** Hoch
## Implementierungsleitfaden
**Machen Sie sich die geschäftlichen Anforderungen bewusst:** Der geschäftliche Erfolg basiert auf gemeinsamen Zielen und der Kommunikation zwischen allen Stakeholdern, zu denen auch Geschäfts-, Entwicklungs- und Betriebsteams gehören.
**Besprechen der geschäftlichen Ziele, Anforderungen und Prioritäten externer Kunden:** Führen Sie wichtige Beteiligte zusammen, einschließlich Geschäfts-, Entwicklungs- und Betriebsteams, um die Ziele, Anforderungen und Prioritäten externer Kunden zu besprechen.. Dadurch wird sichergestellt, dass Sie mit der betrieblichen Unterstützung vertraut sind, die erforderlich ist, um die gewünschten Geschäfts- und Kundenergebnisse zu erzielen.
**Schaffen Sie ein gemeinsames Verständnis:** Sorgen Sie dafür, dass alle Beteiligten die Geschäftsfunktionen des Workloads und die Rollen der einzelnen Teams bei den Workload-spezifischen betrieblichen Abläufen kennen. Außerdem sollte bekannt sein, wie diese Faktoren die gemeinsamen Geschäftsziele mit internen und externen Kunden beeinflussen.
## Ressourcen
**Zugehörige bewährte Methoden:**
+ [OPS11-BP03 Implementieren von Feedbackschleifen](https://docs.aws.amazon.com/wellarchitected/latest/operational-excellence-pillar/ops_evolve_ops_feedback_loops.html)
# OPS01-BP02 Evaluieren Sie die internen Kundenbedürfnisse
Binden Sie alle wichtigen Stakeholder ein, einschließlich Geschäfts-, Entwicklungs- und Betriebsteams, um zu bestimmen, welche Bereiche verstärkt auf die Bedürfnisse der internen Kunden ausgerichtet werden müssen. Dadurch wird sichergestellt, dass Sie mit der betrieblichen Unterstützung vertraut sind, die erforderlich ist, um geschäftliche Ergebnisse zu erzielen.
**Gewünschtes Ergebnis:**
+ Anhand Ihrer etablierten Prioritäten können Sie erkennen, an welchen Stellen die Verbesserungsbemühungen konzentriert werden sollten (z. B. Teamfähigkeiten entwickeln, die Workload-Leistung verbessern, Kosten senken, Runbooks automatisieren oder die Überwachung ausbauen).
+ Wenn sich Anforderungen ändern, aktualisieren Sie Ihre Prioritäten entsprechend.
**Typische Anti-Muster:**
+ Sie haben sich entschieden, die Zuweisung von IP-Adressen für Ihre Produktteams zu ändern, um die Netzwerkverwaltung zu vereinfachen. Dabei haben Sie jedoch nicht mit den Mitarbeitern gesprochen. Sie wissen also nicht, welche Auswirkungen diese Änderung auf Ihre Produktteams haben wird.
+ Sie implementieren ein neues Entwicklungstool, haben aber Ihre internen Kunden nicht einbezogen, um herauszufinden, ob das Tool benötigt wird oder mit den Abläufen der Kunden kompatibel ist.
+ Sie implementieren ein neues Überwachungssystem, haben aber Ihre internen Kunden nicht kontaktiert, um herauszufinden, ob spezifische Überwachungs- oder Berichtsanforderungen vorliegen, die berücksichtigt werden sollten.
**Vorteile der Nutzung dieser bewährten Methode:** Die Bewertung und das Verständnis interner Kundenbedürfnisse liefert die Grundlage dafür, wie Sie Ihre Anstrengungen zur Bereitstellung eines geschäftlichen Mehrwerts priorisieren.
**Risikostufe, wenn diese bewährte Methode nicht eingeführt wird:** Hoch
## Implementierungsleitfaden
+ Verstehen Sie die geschäftlichen Anforderungen: Der geschäftliche Erfolg basiert auf gemeinsamen Zielen und der Kommunikation zwischen allen Stakeholdern, zu denen auch die Teams aus den Bereichen Geschäft, Entwicklung und Betrieb gehören.
+ Überprüfen Sie die geschäftlichen Ziele, Anforderungen und Prioritäten interner Kunden: Führen Sie wichtige Stakeholder zusammen, einschließlich Geschäfts-, Entwicklungs- und Betriebsteams, um die Ziele, Anforderungen und Prioritäten interner Kunden zu besprechen. Dadurch wird sichergestellt, dass Sie mit der betrieblichen Unterstützung vertraut sind, die erforderlich ist, um die gewünschten Geschäfts- und Kundenergebnisse zu erzielen.
+ Schaffen Sie ein gemeinsames Verständnis: Sorgen Sie dafür, dass alle Beteiligten die Geschäftsfunktionen des Workloads und die Rollen der einzelnen Teams bei den Workload-spezifischen betrieblichen Abläufen kennen. Außerdem sollte bekannt sein, wie diese Faktoren die gemeinsamen Geschäftsziele mit internen und externen Kunden beeinflussen.
## Ressourcen
**Zugehörige bewährte Methoden:**
+ [OPS11-BP03 Implementieren Sie Feedback-Schleifen](https://docs.aws.amazon.com/wellarchitected/latest/operational-excellence-pillar/ops_evolve_ops_feedback_loops.html)
# OPS01-BP03 Bewertung der Governance-Anforderungen
Governance bezeichnet die Richtlinien, Regeln oder Rahmen, die ein Unternehmen nutzt, um die geschäftlichen Ziele zu erreichen. Die Governance-Anforderungen werden innerhalb Ihrer Organisation erstellt. Sie können sich darauf auswirken, welche Arten von Technologien Sie nutzen oder wie Sie Ihre Workload ausführen. Integrieren Sie die Governance-Anforderungen Ihrer Organisation in Ihren Workload. Konformität ist die Fähigkeit, nachzuweisen, dass Sie die Governance-Anforderungen implementiert haben.
**Gewünschtes Ergebnis:**
+ Die Governance-Anforderungen werden in das Architekturdesign und den Betrieb Ihres Workloads integriert.
+ Sie können nachweisen, dass Sie den Governance-Anforderungen nachkommen.
+ Die Governance-Anforderungen werden regelmäßig überprüft und aktualisiert.
**Typische Anti-Muster:**
+ Ihre Organisation verlangt Multi-Faktor-Authentifizierung für das Stammkonto. Sie haben diese Anforderung nicht implementiert und das Stammkonto wurde kompromittiert.
+ Während des Entwurfs Ihres Workloads wählen Sie einen Instance-Typ, der nicht von der IT-Abteilung genehmigt wurde. Sie können Ihren Workload nicht starten und müssen ihn überarbeiten.
+ Sie sind verpflichtet, über einen Plan für die Notfallwiederherstellung zu verfügen. Sie haben keinen solchen Plan erstellt und Ihr Workload ist von einem längeren Ausfall betroffen.
+ Ihr Team möchte neue Instances verwenden, Ihre Governance-Anforderungen wurden jedoch nicht aktualisiert, sodass die Instances nicht zulässig sind.
**Vorteile der Nutzung dieser bewährten Methode:**
+ Durch das Erfüllen der Governance-Anforderungen wird Ihr Workload auf die größeren Organisationsrichtlinien abgestimmt.
+ Die Governance-Anforderungen spiegeln Branchenstandards und bewährte Methoden für Ihre Organisation wider.
**Risikostufe, wenn diese bewährte Methode nicht eingeführt wird:** Hoch
## Implementierungsleitfaden
Ermitteln Sie Governance-Anforderungen, indem Sie mit Stakeholdern und Governance-Organisationen zusammenarbeiten. Integrieren Sie die Governance-Anforderungen in Ihren Workload. Seien Sie in der Lage, nachzuweisen, dass Sie den Governance-Anforderungen nachkommen.
**Kundenbeispiel**
Bei AnyCompany Retail arbeitet das Cloud-Operations-Team mit Stakeholdern im gesamten Unternehmen zusammen, um die Governance-Anforderungen zu entwickeln. Sie verbieten beispielsweise den SSH Zugriff auf EC2 Amazon-Instances. Wenn Teams Systemzugriff benötigen, müssen sie AWS Systems Manager Session Manager verwenden. Das Cloud-Operations-Team aktualisiert die Governance-Anforderungen regelmäßig, sobald neue Services verfügbar sind.
**Implementierungsschritte**
1. Identifizieren Sie die Stakeholder für Ihren Workload, einschließlich zentralisierter Teams.
1. Arbeiten Sie mit den Stakeholdern zusammen, um Governance-Anforderungen zu ermitteln.
1. Nachdem Sie eine Liste erstellt haben, ordnen Sie die Verbesserungspunkte entsprechend der Priorität und beginnen Sie damit, sie in Ihren Workload zu implementieren.
1. Verwenden Sie Dienste wie [AWS Config](https://aws.amazon.com/blogs/industries/best-practices-for-aws-organizations-service-control-policies-in-a-multi-account-environment/)die Erstellung governance-as-code und Überprüfung der Einhaltung von Governance-Anforderungen.
1. Wenn Sie [AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) verwenden, können Sie Governance-Anforderungen mithilfe von Service-Kontrollrichtlinien (Service Control Policies, SCP) implementieren.
1. Stellen Sie Unterlagen bereit, die die Implementierung bestätigen.
**Aufwand für den Implementierungsplan:** Mittel. Die Implementierung fehlender Governance-Anforderungen kann dazu führen, dass Sie Ihren Workload überarbeiten müssen.
## Ressourcen
**Zugehörige bewährte Methoden:**
+ [OPS01-BP04 Bewerten der Compliance-Anforderungen](ops_priorities_compliance_reqs.md) – Compliance ist ähnlich wie Unternehmensführung, kommt jedoch von außerhalb des Unternehmens.
**Zugehörige Dokumente:**
+ [AWS Leitfaden für Verwaltung und Governance zur Cloud-Umgebung](https://docs.aws.amazon.com/wellarchitected/latest/management-and-governance-guide/management-and-governance-cloud-environment-guide.html)
+ [Bewährte Methoden für Richtlinien zur AWS Organizations Servicesteuerung in einer Umgebung mit mehreren Konten](https://aws.amazon.com/blogs/industries/best-practices-for-aws-organizations-service-control-policies-in-a-multi-account-environment/)
+ [Unternehmensführung in der AWS Cloud: Das richtige Gleichgewicht zwischen Agilität und Sicherheit](https://aws.amazon.com/blogs/apn/governance-in-the-aws-cloud-the-right-balance-between-agility-and-safety/)
+ [Was sind Unternehmensführung, Risiko und Compliance (GRC)?](https://aws.amazon.com/what-is/grc/)
**Zugehörige Videos:**
+ [AWS Management und Unternehmensführung: Konfiguration, Compliance und Prüfung — AWS Online Tech Talks](https://www.youtube.com/watch?v=79ud1ZAaoj0)
+ [AWS re:INFORCE 2019: Governance für das Cloud-Zeitalter (-R1) DEM12](https://www.youtube.com/watch?v=y3WmHnavuN8)
+ [AWS re:Invent 2020: Konformität als Code erreichen mit AWS Config](https://www.youtube.com/watch?v=m8vTwvbzOfw)
+ [AWS re:Invent 2020: Agile Unternehmensführung auf AWS GovCloud (US)](https://www.youtube.com/watch?v=hv6B17eriHQ)
**Zugehörige Beispiele:**
+ [AWS Config Beispiele für das Konformitätspaket](https://docs.aws.amazon.com/config/latest/developerguide/conformancepack-sample-templates.html)
**Zugehörige Services:**
+ [AWS Config](https://aws.amazon.com/config/)
+ [AWS Organizations - Richtlinien zur Servicekontrolle](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html)
# OPS01-BP04 Bewerten der Compliance-Anforderungen
Regulatorische, branchenspezifische und interne Compliance-Anforderungen sind ein wichtiger Faktor, wenn Sie die Prioritäten Ihrer Organisation definieren. Ihr Compliance-Regelwerk hindert Sie möglicherweise daran, spezifische Technologien oder geografische Standorte zu nutzen. Wenden Sie die erforderliche Sorgfalt an, wenn keine externen Compliance-Regelwerke identifiziert sind. Erstellen Sie Audits oder Berichte, die die Compliance bestätigen.
Wenn Sie damit werben, dass Ihr Produkt bestimmte Compliance-Standards erfüllt, benötigen Sie einen internen Prozess zur kontinuierlichen Gewährleistung der Compliance. Beispiele für Compliance-Standards umfassen PCI DSS, FedRAMP und HIPAA. Die geltenden Compliance-Standards werden durch verschiedene Faktoren bestimmt, beispielsweise dadurch, welche Datentypen von der Lösung gespeichert oder gesendet werden und welche geografischen Regionen die Lösung unterstützt.
**Gewünschtes Ergebnis:**
+ Die regulatorischen, branchenspezifischen und internen Compliance-Anforderungen werden bei der Auswahl der Architektur berücksichtigt.
+ Sie können die Compliance bestätigen und Audit-Berichte erstellen.
**Typische Anti-Muster:**
+ Teile Ihres Workloads fallen unter das Regelwerk des Payment Card Industry Data Security Standard (PCI-DSS), Ihr Workload speichert Kreditkartendaten jedoch unverschlüsselt.
+ Ihren Software-Entwicklern und -Architekten ist das Compliance-Regelwerk, das Ihre Organisation einhalten muss, nicht bekannt.
+ Das jährliche Audit Systems and Organizations Control (SOC2) Type II steht bevor und Sie können nicht nachweisen, dass Kontrollelemente implementiert sind.
**Vorteile der Nutzung dieser bewährten Methode:**
+ Die Bewertung und das Verständnis der Compliance-Anforderungen für Ihren Workload liefern die Grundlage dafür, wie Sie Ihre Anstrengungen zur Bereitstellung eines geschäftlichen Mehrwerts priorisieren.
+ Sie wählen die Ihrem Compliance-Regelwerk entsprechenden Standorte und Technologien.
+ Indem Sie Ihren Workload so entwerfen, dass Überprüfungen möglich sind, können Sie leichter nachweisen, dass Sie das Compliance-Regelwerk einhalten.
**Risikostufe, wenn diese bewährte Methode nicht eingeführt wird:** Hoch
## Implementierungsleitfaden
Wenn Sie diese bewährte Methode implementieren, bedeutet dies, dass Sie Compliance-Anforderungen in den Entwurfsprozess für Ihre Architektur integrieren. Ihren Teammitgliedern ist das erforderliche Compliance-Regelwerk bekannt. Sie bestätigen Ihre Compliance mit diesem Regelwerk.
**Kundenbeispiel**
AnyCompany Retail speichert Kreditkarteninformationen für Kunden. Die Entwickler im Team für die Kartenspeicherung wissen, dass sie das PCI-DSS-Regelwerk einhalten müssen. Sie haben Schritte unternommen, um nachzuweisen, dass die Kreditkarteninformationen in Übereinstimmung mit dem PCI-DSS-Regelwerk sicher gespeichert und aufgerufen werden. Jedes Jahr arbeiten sie mit dem Sicherheitsteam zusammen, um die Compliance zu bestätigen.
**Implementierungsschritte**
1. Arbeiten Sie mit Ihrem Sicherheits- und Governance-Team zusammen, um zu ermitteln, welche branchenspezifischen, regulatorischen oder internen Compliance-Regelwerke Ihr Workload einhalten muss. Integrieren Sie die Compliance-Regelwerke in Ihren Workload.
1. Validieren Sie die kontinuierliche Compliance von AWS-Ressourcen mit Services wie [AWS Compute Optimizer](https://docs.aws.amazon.com/compute-optimizer/latest/ug/what-is-compute-optimizer.html) und [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html).
1. Informieren Sie Ihre Teammitglieder über die Compliance-Anforderungen, damit diese den Workload in Übereinstimmung mit den Anforderungen betreiben und weiterentwickeln können. Die Compliance-Anforderungen sollten bei architektur- und technologiebezogenen Entscheidungen berücksichtigt werden.
1. Je nach Compliance-Regelwerk müssen Sie möglicherweise einen Audit- oder Compliance-Bericht erstellen. Arbeiten Sie mit Ihrer Organisation zusammen, um diesen Prozess so weit wie möglich zu automatisieren.
1. Nutzen Sie Services wie [AWS Audit Manager](https://docs.aws.amazon.com/audit-manager/latest/userguide/what-is.html), um die Compliance zu validieren und Auditberichte zu erstellen.
1. Sie können AWS-Sicherheits- und Compliance-Dokumente mit [AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/what-is-aws-artifact.html) herunterladen.
**Aufwand für den Implementierungsplan:** Mittel. Die Implementierung von Compliance-Regelwerken kann eine Herausforderung darstellen. Das Erstellen von Audit-Berichten oder Compliance-Dokumenten sorgt für zusätzlichen Aufwand.
## Ressourcen
**Zugehörige bewährte Methoden:**
+ [SEC01-BP03 Identifizieren und Validieren von Kontrollzielen](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_securely_operate_control_objectives.html) – Sicherheits-Kontrollziele sind ein wichtiger Teil der Gesamt-Compliance.
+ [SEC01-BP06 Automatisieren von Tests und Validierung von Sicherheitskontrollen in Pipelines](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_securely_operate_test_validate_pipeline.html) – Validieren Sie die Sicherheitskontrollen als Teil Ihrer Pipeline. Sie können auch eine Compliance-Dokumentation für neue Änderungen erstellen.
+ [SEC07-BP02 Definieren von Datenschutzkontrollen](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_data_classification_define_protection.html) – Bei vielen Compliance-Frameworks sind Datenverarbeitung und -speicherung richtlinienbasiert.
+ [SEC10-BP03 Vorbereiten forensischer Funktionen](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_incident_response_prepare_forensic.html) – Forensische Funktionen können manchmal bei der Prüfungs-Compliance verwendet werden.
**Zugehörige Dokumente:**
+ [AWS Compliance Center ](https://aws.amazon.com/financial-services/security-compliance/compliance-center/)
+ [AWS-Compliance-Ressourcen ](https://aws.amazon.com/compliance/resources/)
+ [AWS-Risiko und -Compliance (Whitepaper)](https://docs.aws.amazon.com/whitepapers/latest/aws-risk-and-compliance/welcome.html)
+ [AWSModell der übergreifenden Verantwortlichkeit](https://aws.amazon.com/compliance/shared-responsibility-model/)
+ [AWS-Services im Rahmen des Compliance-Programms](https://aws.amazon.com/compliance/services-in-scope/)
**Zugehörige Videos:**
+ [AWS re:Invent 2020: Achieve compliance as code using AWS Compute Optimizer](https://www.youtube.com/watch?v=m8vTwvbzOfw)
+ [AWS re:Invent 2.021 - Cloud compliance, assurance, and auditing ](https://www.youtube.com/watch?v=pdrYGVgb08Y)
+ [AWS Summit ATL 2.022 - Implementing compliance, assurance, and auditing on AWS (COP202) ](https://www.youtube.com/watch?v=i7XrWimhqew)
**Zugehörige Beispiele:**
+ [ PCI DSS und AWS Foundational Security Best Practices auf AWS](https://aws.amazon.com/solutions/partners/compliance-pci-fsbp-remediation/)
**Zugehörige Services:**
+ [AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/what-is-aws-artifact.html)
+ [AWS Audit Manager](https://docs.aws.amazon.com/audit-manager/latest/userguide/what-is.html)
+ [AWS Compute Optimizer](https://docs.aws.amazon.com/config/latest/developerguide/WhatIsConfig.html)
+ [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html)
# OPS01-BP05 Bewerten Sie die Bedrohungslandschaft
Bewerten Sie Bedrohungen für das Unternehmen (z. B. Wettbewerb, Geschäftsrisiken und -verpflichtungen, operative Risiken und Bedrohungen der Informationssicherheit) und pflegen Sie aktuelle Informationen in einem Risikoregister. Berücksichtigen Sie die Auswirkungen von Risiken, wenn Sie bestimmen, auf welche Bereiche die Anstrengungen fokussiert werden sollen.
Das [Well-Architected Framework](https://aws.amazon.com/architecture/well-architected/) legt den Schwerpunkt auf Lernen, Messen und Verbessern. Es bietet Ihnen einen konsistenten Ansatz zur Bewertung von Architekturen und zur Implementierung von Designs, die sich im Laufe der Zeit skalieren lassen. AWS bietet die [AWS Well-Architected Tool](https://aws.amazon.com/well-architected-tool/)Möglichkeit, Ihren Ansatz vor der Entwicklung, den Status Ihrer Workloads vor der Produktion und den Status Ihrer Workloads in der Produktion zu überprüfen. Sie können sie mit den neuesten bewährten AWS Architekturpraktiken vergleichen, den Gesamtstatus Ihrer Workloads überwachen und Einblicke in potenzielle Risiken gewinnen.
AWS Kunden haben Anspruch auf eine geführte Well-Architected-Überprüfung ihrer unternehmenskritischen Workloads, um ihre Architekturen anhand von Best Practices [zu](https://aws.amazon.com/premiumsupport/programs/) bewerten. AWS Für Kunden mit Enterprise Support wird eine [Betriebsüberprüfung (Operations Review)](https://aws.amazon.com/premiumsupport/programs/) angeboten. Damit haben sie die Möglichkeit, Lücken in ihrem Cloud-Ansatz aufzuzeigen.
Aufgrund der teamübergreifenden Natur dieser Überprüfungen erhalten Sie ein allgemeines Verständnis Ihrer Workloads und können erkennen, wie Team-Rollen zum Erfolg beitragen. Die bei den Überprüfungen gefundenen Punkte können Ihnen beim Festlegen Ihrer Prioritäten helfen.
[AWS Trusted Advisor](https://aws.amazon.com/premiumsupport/technology/trusted-advisor/) bietet als Tool Zugriff auf verschiedene wichtige Prüfungen, die Optimierungsempfehlungen ausgeben. Diese Informationen können Ihnen beim Festlegen Ihrer Prioritäten helfen. [Kunden mit Business und Enterprise Support](https://aws.amazon.com/premiumsupport/plans/) erhalten Zugriff auf weitere Prüfungen in den Bereichen Sicherheit, Zuverlässigkeit, Leistung und Kostenoptimierung, die beim Festlegen von Prioritäten noch hilfreicher sind.
**Gewünschtes Ergebnis:**
+ Du überprüfst Well-Architected und die Ergebnisse regelmäßig und reagierst entsprechend Trusted Advisor
+ Sie sind über den neuesten Patch-Status Ihrer Services informiert.
+ Sie kennen das Risiko und die Auswirkungen bekannter Bedrohungen und handeln entsprechend.
+ Sie implementieren bei Bedarf Abhilfemaßnahmen.
+ Sie kommunizieren Aktionen und Kontext.
**Typische Anti-Muster:**
+ Sie verwenden in Ihrem Produkt eine alte Version einer Softwarebibliothek. Ihnen ist nicht bewusst, dass für die Bibliothek Sicherheitsaktualisierungen vorliegen, mit denen Probleme behoben werden, die unbeabsichtigte Auswirkungen auf Ihren Workload haben können.
+ Ein Mitbewerber hat soeben eine Version seines Produkts veröffentlicht, in der viele Probleme behoben werden, die Kunden an Ihrem Produkt bemängeln. Die Behebung dieser bekannten Probleme hatte für Sie bisher keine Priorität.
+ Regulierungsbehörden nehmen Unternehmen wie Ihres, die nicht den gesetzlichen Compliance-Anforderungen entsprechen, verstärkt ins Visier. Sie haben Ihre ausstehenden Compliance-Anforderungen nicht priorisiert.
**Vorteile der Nutzung dieser bewährten Methode:** Sie identifizieren und verstehen die Bedrohungen für Ihr Unternehmen und Ihren Workload und können daher besser bestimmen, welche Bedrohungen angegangen werden müssen, wo die Prioritäten liegen und welche Ressourcen dafür erforderlich sind.
**Risikostufe, wenn diese bewährte Methode nicht eingeführt wird:** Mittel
## Implementierungsleitfaden
+ **Bewerten der Bedrohungsszenarien:** Bewerten Sie Bedrohungen für das Unternehmen (z. B. Konkurrenz, Geschäftsrisiken und -verpflichtungen, operative Risiken und Bedrohungen der Informationssicherheit), damit Sie die jeweiligen Auswirkungen berücksichtigen können, wenn Sie bestimmen, auf welche Bereiche die operativen Anstrengungen konzentriert werden sollten.
+ [Aktuelle AWS -Sicherheitsmitteilungen](https://aws.amazon.com/security/security-bulletins/)
+ [AWS Trusted Advisor](https://aws.amazon.com/premiumsupport/trustedadvisor/)
+ **Verwalten eines Bedrohungsmodells:** Erstellen und verwalten Sie ein Bedrohungsmodell, in dem potenzielle Bedrohungen, geplante und vorhandene Maßnahmen und deren Priorität festgehalten werden. Untersuchen Sie, wie wahrscheinlich es ist, dass sich Bedrohungen als Vorfälle äußern, wie hoch die Kosten für die Wiederherstellung nach diesen Vorfällen sind, welche Schäden zu erwarten sind und wie viel es kostet, diese Vorfälle zu verhindern. Überarbeiten Sie die Prioritäten, wenn sich der Inhalt des Bedrohungsmodells ändert.
## Ressourcen
**Zugehörige bewährte Methode:**
+ [SEC01-BP07 Identifizieren Sie Bedrohungen und priorisieren Sie Abhilfemaßnahmen mithilfe eines Bedrohungsmodells](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_securely_operate_threat_model.html)
**Zugehörige Dokumente:**
+ [AWS Cloud -Compliance](https://aws.amazon.com/compliance/)
+ [Aktuelle AWS -Sicherheitsmitteilungen](https://aws.amazon.com/security/security-bulletins/)
+ [AWS Trusted Advisor](https://aws.amazon.com/premiumsupport/trustedadvisor/)
**Zugehörige Videos:**
+ [AWS re:Inforce 2023 – Tool für eine bessere Bedrohungsmodellierung](https://youtu.be/CaYCsmjuiHg?si=e_CXPGqRF4WeBr1u)
# OPS01-BP06 Bewerten von Kompromissen und Abwägen der Vorteile und Risiken
Konkurrierende Interessen mehrerer Parteien können eine Herausforderung darstellen, wenn es darum geht, Anstrengungen zu priorisieren, Fähigkeiten aufzubauen und Ergebnisse zu erzielen, die auf die Geschäftsstrategien abgestimmt sind. So können Sie möglicherweise aufgefordert werden, die Markteinführung neuer Features zu beschleunigen, anstatt die Kosten für die IT-Infrastruktur zu optimieren. Dies kann dazu führen, dass die Interessen zweier Parteien miteinander in Widerspruch stehen. In solchen Situationen muss eine höhere Stelle hinzugezogen werden, um eine Entscheidung zur Lösung des Konflikts zu treffen. Daten sind erforderlich, um den Entscheidungsprozess von emotionalen Komponenten zu befreien.
Ähnliche Herausforderungen können auf taktischer Ebene auftreten. Beispielsweise kann die Wahl zwischen relationalen oder nicht relationalen Datenbanktechnologien erhebliche Auswirkungen auf den Betrieb einer Anwendung haben. Daher ist es wichtig, die voraussichtlichen Ergebnisse verschiedener Entscheidungen zu verstehen.
AWS kann Ihnen helfen, Ihre Teams über AWS und die verfügbaren Services zu schulen, sodass alle Mitarbeiter wissen, welche Auswirkungen ihre Entscheidungen auf Ihre Workload haben können. Nutzen Sie bei der Schulung Ihrer Teams die vom [Support](https://aws.amazon.com/premiumsupport/programs/) ([AWS Knowledge Center](https://aws.amazon.com/premiumsupport/knowledge-center/), [AWS-Diskussionsforen](https://forums.aws.amazon.com/index.jspa) und [Support Center](https://console.aws.amazon.com/support/home/)) bereitgestellten Ressourcen und [AWS-Dokumente](https://docs.aws.amazon.com/). Bei weiteren Fragen wenden Sie sich bitte an Support.
AWS stellt in der [Amazon Builders' Library](https://aws.amazon.com/builders-library/) auch bewährte betriebliche Methoden und Muster vor. Eine Vielzahl weiterer nützlicher Informationen finden Sie im [AWS-Blog](https://aws.amazon.com/blogs/) und im [offiziellen AWS-Podcast](https://aws.amazon.com/podcasts/aws-podcast/).
**Gewünschtes Ergebnis:** Sie verfügen über ein klar definiertes Governance-Framework zur Entscheidungsfindung, um wichtige Entscheidungen auf jeder Ebene in Ihrem Cloud-Bereistellungsunternehmen zu erleichtern. Dieses Framework umfasst Features wie ein Risikoregister, definierte Rollen mit Entscheidungsbefugnissen und definierte Modelle für die einzelnen Entscheidungsebenen. Dieses Framework legt im Voraus fest, wie Konflikte gelöst werden, welche Daten präsentiert werden müssen und wie Optionen priorisiert werden, sodass Sie einmal gefasste Beschlüsse sofort umsetzen können. Das Framework zur Entscheidungsfindung beinhaltet einen standardisierten Ansatz zur Überprüfung und Abwägung der Vorteile und Risiken einzelner Entscheidungen, um die Tragweite etwaiger Kompromisse abzuschätzen. Dazu können externe Faktoren gehören wie die Einhaltung gesetzlicher Vorschriften.
**Typische Anti-Muster:**
+ Ihre Investoren fordern, dass Sie die Compliance mit Payment Card Industry Data Security Standards (PCI DSS) nachweisen. Sie denken nicht über einen möglichen Kompromiss zwischen der Erfüllung dieser Anfrage und der Fortsetzung Ihrer derzeitigen Entwicklungsaktivitäten nach. Stattdessen fahren Sie mit der Entwicklung fort, ohne einen Compliance-Nachweis zu erbringen. Ihre Investoren beenden die Unterstützung Ihres Unternehmens, da sie Bedenken bezüglich der Sicherheit Ihrer Plattform und ihrer Investitionen haben.
+ Sie haben sich entschieden, eine Bibliothek einzubinden, die einer Ihrer Entwickler „im Internet entdeckt“ hat. Sie haben keine Bewertung der Risiken durchgeführt, die die Einführung dieser Bibliothek aus einer unbekannten Quelle bergen kann, und wissen nicht, ob sie Schwachstellen oder schädlichen Code enthält.
+ Die ursprüngliche geschäftliche Begründung für Ihre Migration basierte auf der Modernisierung von 60 % Ihrer Anwendungsworkloads. Aufgrund technischer Schwierigkeiten wurde jedoch beschlossen, nur 20 % zu modernisieren. Dies führte langfristig zu einer Reduzierung der geplanten Leistungen, zu einem erhöhten Aufwand für die Infrastrukturteams bei der manuellen Wartung von Legacy-Systemen und zu einer stärkeren Abhängigkeit von der Entwicklung neuer Fähigkeiten in Ihren Infrastrukturteams, die diese Änderung nicht geplant hatten.
**Vorteile der Nutzung dieser bewährten Methode:** Vollständige Abstimmung und Unterstützung der Geschäftsprioritäten auf Vorstandsebene, Verständnis der Erfolgsrisiken, Treffen fundierter Entscheidungen und angemessenes Handeln, wenn Risiken die Erfolgschancen beeinträchtigen. Indem Sie die Auswirkungen und Konsequenzen Ihrer Entscheidungen verstehen, können Sie Ihre Optionen priorisieren und Führungskräfte schneller zu einer Einigung bringen, was zu besseren Geschäftsergebnissen führt. Wenn Sie die Vorteile Ihrer Entscheidungen erkennen und sich der Risiken für Ihre Organisation bewusst sind, können Sie datengestützte Entscheidungen treffen, anstatt sich auf Anekdoten verlassen zu müssen.
**Risikostufe, wenn diese bewährte Methode nicht eingeführt wird:** Mittel
## Implementierungsleitfaden
Die Abwägung von Nutzen und Risiken sollte von einem Leitungsorgan übernommen werden, das die Anforderungen für wichtige Entscheidungen festlegt. Sie möchten, dass Entscheidungen basierend auf ihrem Nutzen für die Organisation getroffen und priorisiert werden und die damit verbundenen Risiken bekannt sind. Präzise Informationen bilden die Grundlage für die Entscheidungen Ihrer Organisation. Diese sollten auf soliden Messungen beruhen und durch branchenübliche Verfahren der Kosten-Nutzen-Analyse definiert werden. Damit Entscheidungen auf diese Art getroffen werden können, müssen Sie ein Gleichgewicht zwischen zentralisierter und dezentralisierter Autorität herstellen. Es gibt immer einen Kompromiss. Daher ist es wichtig zu verstehen, wie sich jede Entscheidung auf definierte Strategien und angestrebte Geschäftsergebnisse auswirkt.
### Implementierungsschritte
1. Formalisieren Sie die Verfahren zur Leistungsmessung innerhalb eines ganzheitlichen Cloud-Governance-Frameworks.
1. Bringen Sie die zentrale Kontrolle der Entscheidungsfindung in Einklang mit konkreten dezentralen Entscheidungsbefugnissen.
1. Machen Sie sich bewusst, dass nicht für jeden Beschluss aufwendige Entscheidungsprozesse vonnöten sind, da sie Sie verlangsamen können.
1. Integrieren Sie externe Faktoren in Ihren Entscheidungsprozess (wie Compliance-Anforderungen).
1. Richten Sie ein gemeinsames Framework zur Entscheidungsfindung für verschiedene Entscheidungsebenen ein, in dem festgelegt ist, wer Entscheidungen bei widersprüchlichen Interessen trifft.
1. Zentralisieren Sie einseitige Entscheidungen, die irreversibel sein könnten.
1. Lassen Sie leicht revidierbare Entscheidungen von Führungskräften auf niedrigerer Ebene treffen.
1. Machen Sie sich mit den Nutzen und Risiken vertraut und wägen Sie sie ab. Wägen Sie den Nutzen von Entscheidungen gegen die damit einhergehenden Risiken ab.
1. **Ermitteln von Vorteilen:** Ermitteln Sie die Vorteile auf Basis der geschäftlichen Ziele, Anforderungen und Prioritäten. Beispiele hierfür sind die Auswirkungen auf den Business Case, die Markteinführungszeit, Sicherheit, Zuverlässigkeit, Leistung und Kosten.
1. **Ermitteln von Risiken:** Ermitteln Sie die Risiken auf Basis der geschäftlichen Ziele, Anforderungen und Prioritäten. Zu diesen Prioritäten zählen beispielsweise eine kurze Markteinführungszeit, Sicherheit, Zuverlässigkeit, Leistung und Kosten.
1. **Abwägen von Vorteilen und Risiken und Treffen fundierter Entscheidungen:** Bestimmen Sie die Auswirkungen von Vorteilen und Risiken anhand der Ziele, Anforderungen und Prioritäten der wichtigsten Beteiligten, zu denen auch Geschäfts-, Entwicklungs- und Betriebsteams zählen. Bewerten Sie den Wert eines Vorteils anhand der Wahrscheinlichkeit, dass sich das Risiko tatsächlich bewahrheitet, sowie der Kosten der jeweiligen Auswirkungen. Eine schnellere Markteinführung zu Lasten der Zuverlässigkeit könnte beispielsweise einen Wettbewerbsvorteil bedeuten. Wenn jedoch Probleme mit der Zuverlässigkeit auftreten, kann dies zu einer verringerten Betriebszeit führen.
1. Setzen Sie wichtige Entscheidungen programmatisch um, um die Einhaltung von Compliance-Anforderungen zu automatisieren.
1. Nutzen Sie branchenübliche Frameworks und Funktionen wie Value Stream Analysis und LEAN, um die aktuelle Leistung und Geschäftsmetriken abzubilden und Iterationen der Fortschritte zur Verbesserung dieser Metriken zu definieren.
**Aufwand für den Implementierungsplan:** Mittel-Hoch
## Ressourcen
**Zugehörige bewährte Methoden:**
+ [OPS01-BP05 Bewerten der Bedrohungsszenarien](https://docs.aws.amazon.com/wellarchitected/latest/operational-excellence-pillar/ops_priorities_eval_threat_landscape.html)
**Zugehörige Dokumente:**
+ [Elemente der Day-1-Kultur von Amazon \$1 Hochwertige und schnelle Entscheidungen treffen](https://aws.amazon.com/executive-insights/content/how-amazon-defines-and-operationalizes-a-day-1-culture/)
+ [Cloud-Governance](https://aws.amazon.com/cloudops/cloud-governance/)
+ [Verwaltungs- und Governance-Cloud-Umgebung](https://docs.aws.amazon.com/wellarchitected/latest/management-and-governance-guide/management-and-governance-cloud-environment-guide.html?did=wp_card&trk=wp_card)
+ [Governance in der Cloud und im digitalen Zeitalter: Teil eins und Teil zwei](https://aws.amazon.com/blogs/enterprise-strategy/governance-in-the-cloud-and-in-the-digital-age-part-one/)
**Zugehörige Videos:**
+ [Podcast \$1 Jeff Bezos \$1 So trifft man Entscheidungen](https://www.youtube.com/watch?v=VFwCGECvq4I)
**Zugehörige Beispiele:**
+ [Mithilfe von Daten fundierte Entscheidungen treffen (The DevOps Sagas)](https://docs.aws.amazon.com/wellarchitected/latest/devops-guidance/oa.bcl.10-make-informed-decisions-using-data.html)
+ [Verwendung von Wertstromanalysen für die Entwicklung, um Hindernisse für DevOps-Ergebnisse zu identifizieren](https://docs.aws.amazon.com/prescriptive-guidance/latest/strategy-devops-value-stream-mapping/introduction.html)