|
|
| (37 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt) |
| Zeile 1: |
Zeile 1: |
| == Risikoappetit (Risikobereitschaft) == | | {| class="wikitable options" |
| [[Risikobereitschaft]] | | |- |
| | ! Kapitel !! Titel !! Beschreibung |
| | |- |
| | | 9.1 || [[Risikobereitschaft]] || |
| | |- |
| | | 9.2 || [[Risikoanalyse/Meeting]] || Risikoanalyse-Meeting |
| | |- |
| | | 9.3 || [[BSI/200-3/Gefährdungsübersicht#Zusätzlicher Gefährdungen]] |
| | |- |
| | | 9.4 || [[ISO/IEC_31000#Grundschutz_und_ISO/IEC_31000 | Zusammenspiel mit ISO/IEC 31000]] || |
| | |} |
|
| |
|
| == Moderation der Risikoanalyse ==
| | <noinclude> |
| [[Risikoanalyse-Meeting]]
| | [[Kategorie:BSI/200-3]] |
| | | </noinclude> |
| == Ermittlung zusätzlicher Gefährdungen ==
| |
| [[BSI/Standard/200-3/Gefährdungsübersicht]] | |
| | |
| == Zusammenspiel mit ISO/IEC 31000 ==
| |
| In den internationalen Normen zum Risikomanagement und zur Risikobeurteilung, insbesondere der
| |
| ISO/IEC 31000, werden einige Begriffe anders belegt, als es im deutschen Sprachraum üblich ist. In der
| |
| nachfolgenden Tabelle sind die wesentlichen Begriffe aus ISO/IEC 31000 und dem BSI-Standard 200-3
| |
| einander gegenübergestellt. Diese Gegenüberstellung dient der Zuordnung der Begriffe der ISO
| |
| 31000 zu den Begriffen der BSI-Standards 200-2 und 200-3 (siehe Abbildung 7).
| |
| ISO/IEC 31000 und IT-Grundschutz
| |
| ISO/IEC 31000:2009
| |
| Establishing the Context, Kapitel 5.3
| |
| Risk Assessment, Kapitel 5.4
| |
| * Risk Identification
| |
| * Risk Analysis
| |
| * Risk Evaluation
| |
| Risk Identification, Kapitel 5.4.2
| |
| Risk Analysis, Kapitel 5.4.3
| |
| Risk Evaluation, Kapitel 5.4.4
| |
| Risk Treatment, Kapitel 5.5
| |
| Communication and Consultation, Kapitel5.2
| |
| IT-Grundschutz
| |
| BSI-Standard 200-1 (siehe [BSI1]),
| |
| Managementprinzipien, Kapitel 4
| |
| Planung des Sicherheitsprozesses, Kapitel 7.1
| |
| BSI-Standard 200-2
| |
| Initiierung des Sicherheitsprozesses, Kapitel 3
| |
| BSI-Standard 200-3 Risikobeurteilung, Kapitel 1
| |
| * Erstellung einer Gefährdungsübersicht
| |
| * Risikoeinschätzung
| |
| * Risikobewertung
| |
| BSI-Standard 200-3
| |
| Erstellung einer Gefährdungsübersicht, Kapitel 4
| |
| BSI-Standard 200-3
| |
| Risikoeinschätzung, Kapitel 5.1
| |
| BSI-Standard 200-3, Risikobewertung, Kapitel 5.2
| |
| BSI-Standard 200-3, Risikobehandlung, Kapitel 6
| |
| BSI-Standard 200-1, Kommunikation und Wissen,
| |
| Kapitel 4.2
| |
| BSI-Standard 200-2
| |
| Informationsfluss im Informationssicherheitsprozess,
| |
| Kapitel 5.2
| |
| | |
| | |
| ISO/IEC 31000:2009
| |
| Monitoring and Review, Kapitel 5.6
| |
| IT-Grundschutz
| |
| BSI-Standard 200-1
| |
| Aufrechterhaltung der Informationssicherheit, Kapi
| |
| tel 7.4 Kontinuierliche Verbesserung der Informati
| |
| onssicherheit, Kapitel 7.5
| |
| BSI-Standard 200-2
| |
| Aufrechterhaltung und kontinuierliche Verbesserung
| |
| der Informationssicherheit, Kapitel 10
| |
| BSI-Standard 200-3
| |
| Risiken unter Beobachtung, Kapitel 6.2
| |
| Tabelle 11: Gegenfberstellung der Begriffe aus ISO/IEC 31000 und dem BSI-Standard 200-3
| |
| [[Kategorie:Grundschutz/Standard/200-3]]
| |