Benutzer-Werkzeuge

Webseiten-Werkzeuge


Seitenleiste

Ihr Inhalt

Dies ist eine alte Version des Dokuments!


T1 Anhang A
T2 A 1 Verfahren Festgelegte Art und Weise, wie ein Prozess (oder auch eine einzelne Tätigkeit innerhalb eines Prozesses) auszuführen ist.
M2 Die Organisation MUSS die in diesen Richtlinien geforderten Verfahren planen, steuern und stetig verbessern.
E3 Dies SOLLTE im Rahmen eines Qualitätsmanagements auf Basis eines anerkannten Standards wie z. B. DIN EN ISO 9001 geschehen.
M3 Wenn eine andere Vorgehensweise gewählt wird, MÜSSEN folgende Anforderungen erfüllt werden:
M3.1 1. Es wird definiert, wer für die Durchführung verantwortlich ist.
M3.2 2. Verfahren werden in einer für die jeweilige Zielgruppe zugänglichen und verständlichen Form dokumentiert und bekannt gegeben.
M3.3 3. Verfahren werden verbessert, wenn Mängel in ihrer Umsetzung, Angemessenheit oder Effektivität erkannt werden.
M3.4 4. Umsetzung, Angemessenheit und Effektivität werden jährlich bei einem Drittel der Verfahren überprüft. Die zu überprüfenden Verfahren werden nach dem Zufallsprinzip ausgewählt. Wenn die jährliche Überprüfung ergibt, dass mehr als die Hälfte der überprüften Verfahren mängelbehaftet ist, werden alle Verfahren überprüft.
T3 A 2 Risikoanalyse und -behandlung
M4 Die Organisation MUSS die in diesen Richtlinien geforderten Risikoanalysen durchführen und erkannte Risiken zeitnah und angemessen behandeln.
E4 Dies SOLLTE im Rahmen eines Risikomanagements auf Basis eines anerkannten Standards wie BSI-Standard
T4 200-3, ISO/IEC 27005 oder ISO 31000 erfolgen.
M5 Wenn eine andere Vorgehensweise gewählt wird, so MUSS hierfür ein Verfahren (siehe Anhang A 1) implementiert werden, das die Anforderungen folgender Abschnitte erfüllt.
T5 A 2.1 Risikoanalyse
M6 Eine Risikoanalyse MUSS folgende Anforderungen erfüllen:
M6.1 1. Ihre Dokumentation beinhaltet das Vorgehen für das Identifizieren und Bewerten von Risiken.
M6.2 2. Die Vorgehensweise gewährleistet, dass Bedrohungen und Schwachstellen zuverlässig erkannt werden können.
M6.3 3. Die Bewertung von Risiken erfolgt auf Basis der potentiellen Schäden und deren Eintrittswahrscheinlichkeit.
M6.4 4. Das Ergebnis der Risikoanalyse ermöglicht eine Priorisierung bei der Risikobehandlung.
T6 A 2.2 Risikobehandlung
M7 Identifizierte Risiken MÜSSEN zeitnah und priorisiert behandelt werden, indem geeignete Maßnahmen zur Vermeidung, Reduzierung oder Übertragung der Risiken (z. B. durch den Abschluss einer Versicherung) definiert, dokumentiert und umgesetzt werden.
M8 Die Umsetzung MUSS kontrolliert und auf Wirksamkeit geprüft werden.
M9 Wenn Risiken nicht angemessen behandelt werden können, MÜSSEN sie vom Topmanagement Oberste Führungsebene, wie z. B. Vorstände, Geschäftsführer oder Behördenleiter. akzeptiert und dies dokumentiert werden.
T7 A 2.3 Wiederholung und Anpassung
M10 Risikoanalysen MÜSSEN jährlich auf ihre Aktualität geprüft und bei Bedarf wiederholt werden.
M11 Risikoanalysen MÜSSEN darüber hinaus zeitnah überarbeitet werden, wenn eine der folgenden Faktoren auftritt:
M11.1 1. Der Gegenstand der Risikoanalyse hat sich wesentlich verändert (z. B. die Hardware, die Software oder die Konfiguration eines IT-Systems).
M11.2 2. Der Einsatzzweck des untersuchten Gegenstands hat sich wesentlich geändert.
M11.3 3. Die Gefährdungslage hat sich erhöht (z. B. wenn eine neue Gefährdung Bedrohung plus Schwachstelle. bekannt wurde oder sich eine bestehende Gefährdung wesentlich erhöht hat).
Cookies helfen bei der Bereitstellung von Inhalten. Durch die Nutzung dieser Seiten erklären Sie sich damit einverstanden, dass Cookies auf Ihrem Rechner gespeichert werden. Weitere Information
10000/a1.1549489061.txt.gz · Zuletzt geändert: 06.02.2019 22:43 (Externe Bearbeitung)

Hier finden Sie unser Impressum und unsere Datenschutzerklärung.