Wie werden Sicherheitsanforderungen bereits bei der Beschaffung neuer IT-Systeme oder -Dienste systematisch berücksichtigt, und welche Mindestanforderungen (z.B. Security-by-Design) müssen neue Systeme erfüllen?
Security-by-Design/Default sollte bereits im Auswahlprozess Kriterium sein.
Reifegrad
01234
Noch nicht eingeschätzt – Regler bewegen zum Setzen
Welche Vorgaben existieren für sichere Softwareentwicklung in Ihrem Unternehmen – von Bedrohungsanalyse in der Anforderungsphase bis zu Code-Reviews –, und wie werden diese auch bei extern beauftragter Entwicklung durchgesetzt?
Relevant auch bei Auftragsentwicklung/individueller Softwareentwicklung.
Reifegrad
01234
Noch nicht eingeschätzt – Regler bewegen zum Setzen
Wie läuft Ihr Prozess zur Identifikation, Bewertung und Behebung von Schwachstellen inklusive Patch-Management ab, welche Fristen gelten je nach Kritikalität, und wie gehen Sie mit Systemen um, für die keine Hersteller-Updates mehr verfügbar sind?
Sollte Fristen je nach Kritikalität der Schwachstelle definieren.
Reifegrad
01234
Noch nicht eingeschätzt – Regler bewegen zum Setzen
Wie können externe Personen Ihnen Sicherheitslücken melden, und was passiert danach – existiert ein strukturierter Coordinated-Vulnerability-Disclosure-Prozess und ggf. eine Software Bill of Materials (SBOM) zur schnellen Betroffenheitsprüfung?
Ermöglicht es Dritten, Schwachstellen verantwortungsvoll zu melden.
Reifegrad
01234
Noch nicht eingeschätzt – Regler bewegen zum Setzen