Risikoanalyse/Methode/Meeting: Unterschied zwischen den Versionen

Aus Foxwiki
K Dirkwagner verschob die Seite Risikoanalyse/Meeting nach Risikoanalyse/Methode/Meeting
 
(17 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt)
Zeile 1: Zeile 1:
'''Risikoanalyse-Meeting''' - Kurzbeschreibung
'''Risikoanalyse-Meeting''' - Kurzbeschreibung


== Beschreibung ==
=== Beschreibung ===
=== Moderation ===
=== Vorbereitung ===
; Moderation einer Risikoanalyse
; Rahmenbedingungen
Für eine Risikoanalyse müssen Fachverantwortliche bzw. Experten für die jeweils betrachteten Zielob­jekte einbezogen werden
* Hohe Konzentration erforderlich
* In der Praxis hat es sich bewährt, hierzu besser mehrere kurze als eine lange Sitzung mit allen beteiligten Mitarbeitern durchzuführen
* Ungestörtes Arbeiten er­möglichen
* Es sollten Informationssicherheitsbeauftragte, Fachverantwortliche, Administratoren und Benutzer des jeweils betrachteten Zielobjekts und gegebenenfalls auch externe Sachverständige daran teilnehmen


; Es sollte ein Moderator benannt werden
; Analyse
* Der Arbeitsauftrag an die Teilnehmer sollte klar formuliert sein und die Zeit für die Sitzungen begrenzt werden
Analyse klar vom Brainstorming abgrenzen


; Leitungsebene
; Maßstäbe
Damit die für die jeweiligen Schritte der Risikoanalyse notwendigen Beschlüsse direkt konsolidiert werden können, z. B. zu Risikoakzeptanz, Kosten und Umsetzbarkeit, sollte (zumindest gegen Ende)
Klare Maßstäbe für die Bewertung von Risiken festlegen
ein Vertreter der Leitungsebene anwesend sein
* Risiken mit demselben Niveau behandeln
* Maßnahmen vergleichbar und nachvoll­ziehbar machen


=== Zusammensetzung ===
; Team
; Team
Das Team sollte nicht zu groß sein (bewährt haben sich vier bis acht Personen)
Das Team sollte nicht zu groß sein (bewährt haben sich vier bis acht Personen)


; Expertise
Es sollte im Team eine ausreichende Expertise für alle Aspekte des betrachteten Bereichs vorhanden sein:
Es sollte im Team eine ausreichende Expertise für alle Aspekte des betrachteten Bereichs vorhanden sein:
* Der Moderator sollte schon an Risikoanalysen teilgenommen haben, sodass er die Vorgehensweise kennt
* Der Moderator sollte schon an Risikoanalysen teilgenommen haben, sodass er die Vorgehensweise kennt
* Die Besprechung sollte unter Rahmenbedingungen stattfinden, die ein ungestörtes Arbeiten er­möglichen, da eine hohe Konzentration erforderlich ist
 
* Der Analysebereich sollte klar abgegrenzt werden
Für eine Risikoanalyse müssen Fachverantwortliche bzw. Experten für die jeweils betrachteten Zielob­jekte einbezogen werden
* Es muss ein klarer Maßstab für die Bewertung von Risiken festgelegt werden, damit alle Risiken mit demselben Niveau behandelt werden und die ergriffenen Maßnahmen vergleichbar und nachvoll­ziehbar sind
* Es sollten Informationssicherheitsbeauftragte, Fachverantwortliche, Administratoren und Benutzer des jeweils betrachteten Zielobjekts und gegebenenfalls auch externe Sachverständige daran teilnehmen
 
; Leitungsebene
* Damit die für die jeweiligen Schritte der Risikoanalyse notwendigen Beschlüsse direkt konsolidiert werden können, z. B. zu Risikoakzeptanz, Kosten und Umsetzbarkeit, sollte (zumindest gegen Ende) ein Vertreter der Leitungsebene anwesend sein
 
=== Moderation ===
; Moderation einer Risikoanalyse
 
; Moderator benennen
 
; Arbeitsauftrag
* Der Arbeitsauftrag an die Teilnehmer sollte klar formuliert sein
* Die Zeit für die Sitzungen begrenzt werden
* Es hat sich bewährt, mehrere kurze als eine lange Sitzung mit allen beteiligten Mitarbeitern durchzuführen


=== Anlass ===
=== Anlass ===
=== Umgang ===
=== Umgang ===
=== Zusammensetzung ===
=== Vorbereitung ===
=== Durchführung ===
=== Durchführung ===


<noinclude>
<noinclude>
== Anhang ==
== Anhang ==
=== Siehe auch ===
=== Siehe auch ===
Zeile 38: Zeile 50:
===== Weblinks =====
===== Weblinks =====


[[Kategorie:BSI/Standard/200-3]]
[[Kategorie:BSI/200-3]]
[[Kategorie:Informationssicherheit/Risikoanalyse]]
[[Kategorie:ISMS/Risikoanalyse]]
</noinclude>
</noinclude>

Aktuelle Version vom 10. Oktober 2024, 09:33 Uhr

Risikoanalyse-Meeting - Kurzbeschreibung

Beschreibung

Vorbereitung

Rahmenbedingungen
  • Hohe Konzentration erforderlich
  • Ungestörtes Arbeiten er­möglichen
Analyse

Analyse klar vom Brainstorming abgrenzen

Maßstäbe

Klare Maßstäbe für die Bewertung von Risiken festlegen

  • Risiken mit demselben Niveau behandeln
  • Maßnahmen vergleichbar und nachvoll­ziehbar machen

Zusammensetzung

Team

Das Team sollte nicht zu groß sein (bewährt haben sich vier bis acht Personen)

Expertise

Es sollte im Team eine ausreichende Expertise für alle Aspekte des betrachteten Bereichs vorhanden sein:

  • Der Moderator sollte schon an Risikoanalysen teilgenommen haben, sodass er die Vorgehensweise kennt

Für eine Risikoanalyse müssen Fachverantwortliche bzw. Experten für die jeweils betrachteten Zielob­jekte einbezogen werden

  • Es sollten Informationssicherheitsbeauftragte, Fachverantwortliche, Administratoren und Benutzer des jeweils betrachteten Zielobjekts und gegebenenfalls auch externe Sachverständige daran teilnehmen
Leitungsebene
  • Damit die für die jeweiligen Schritte der Risikoanalyse notwendigen Beschlüsse direkt konsolidiert werden können, z. B. zu Risikoakzeptanz, Kosten und Umsetzbarkeit, sollte (zumindest gegen Ende) ein Vertreter der Leitungsebene anwesend sein

Moderation

Moderation einer Risikoanalyse
Moderator benennen
Arbeitsauftrag
  • Der Arbeitsauftrag an die Teilnehmer sollte klar formuliert sein
  • Die Zeit für die Sitzungen begrenzt werden
  • Es hat sich bewährt, mehrere kurze als eine lange Sitzung mit allen beteiligten Mitarbeitern durchzuführen

Anlass

Umgang

Durchführung

Anhang

Siehe auch

Links

Weblinks