Risk Assessment

Wir empfehlen, bei der Durchführung einer Risikobeurteilung die folgenden Punkte zu berücksichtigen

Sicherheitsanforderungen und -ziele, z. B. funktionsspezifische und nicht funktionsspezifische Systemanforderungen

System- oder Netzwerkarchitektur und -infrastrukturen, z. B. mithilfe eines Netzwerkplans und eines Komponentenplans, die zeigen, wie Anlagen konfiguriert und miteinander verbunden sind.

Dienste und Anwendungen, einschließlich Daten und Protokolle, z. B. Anwendungen mit besonders sensiblen Daten

Prozesse bezüglich der Datenverarbeitung, einschließlich Eingabe- und Ausgabeparameter, wie Geschäftsprozesse, Computerbetriebsprozesse und Anwendungsbetriebsprozesse

Abhängigkeiten zwischen Anwendungen und Prozessen, z. B. die Verarbeitung besonders sensibler Daten

Folgenabschätzung, z. B. Identifizierung der Konsequenzen bei Verlust sensibler Daten, modellgestützte Bedrohungsanalyse usw.

Technische Maßnahmen, z. B. Auswahl geeigneter Sicherheitskomponenten, wie Firewalls, Intrusion-Detection-Systeme oder physische und logische Zugangskontrollsysteme

Organisatorische Maßnahmen, z. B. Business Continuity Management und Disaster Recovery Management

Staatliche Gesetze und Vorschriften, die Mindestanforderungen an die Sicherheitskontrolle betreffen.

Dokumentierte oder informelle Richtlinien, Verfahren und Leitlinien.

Weitere Informationen finden Sie in der Information Systems Audit and Control Association, ISACA (www.isaca.org)
oder die entsprechende ISO-Norm für Risikomanagement in IT-Systemen ISO 27005.

Cyber-Sicherheit