Nach welcher Methodik führen Sie Risikoanalysen für Ihre Informationssysteme durch, und wie regelmäßig wird dieser Prozess wiederholt? Gehen Sie darauf ein, ob Sie sich an einem anerkannten Standard orientieren und wie Sie ein Risikoregister pflegen.
z.B. angelehnt an ISO/IEC 27005 oder BSI-Standard 200-3, mit zyklischem PDCA-Ansatz.
Reifegrad
01234
Noch nicht eingeschätzt – Regler bewegen zum Setzen
Wie vollständig ist Ihr Überblick über alle kritischen Netz- und Informationssysteme sowie deren gegenseitige Abhängigkeiten, und wie wurde deren Kritikalität bewertet? Beschreiben Sie, wie und wo dieses Systeminventar gepflegt wird.
Basis für jede sinnvolle Risikoanalyse ist ein vollständiges Systeminventar.
Reifegrad
01234
Noch nicht eingeschätzt – Regler bewegen zum Setzen
Wie oft wird Ihre Risikoanalyse aktualisiert, und welche konkreten Anlässe (z.B. neue Systeme, Vorfälle, organisatorische Änderungen) lösen bei Ihnen eine außerplanmäßige Überprüfung aus?
Anlässe: neue Systeme, Vorfälle, organisatorische Änderungen, neue Bedrohungslagen.
Reifegrad
01234
Noch nicht eingeschätzt – Regler bewegen zum Setzen
Wie gehen Sie mit identifizierten Risiken um – welche werden gemindert, akzeptiert, übertragen oder vermieden, und wer trifft bzw. verantwortet diese Entscheidung? Beschreiben Sie, wie ein Risikobehandlungsplan geführt wird und welche Rolle die Geschäftsleitung bei der Risikoakzeptanz spielt.
Risikoakzeptanz sollte durch die Geschäftsleitung erfolgen, mit benanntem Risikoeigentümer je Risiko.
Reifegrad
01234
Noch nicht eingeschätzt – Regler bewegen zum Setzen