|
|
| Zeile 12: |
Zeile 12: |
|
| |
|
| = TMP = | | = TMP = |
| === Moderation der Risikoanalyse ===
| |
| Für eine Risikoanalyse müssen Fachverantwortliche bzw. Experten für die jeweils betrachteten Zielobjekte miteinbezogen werden.
| |
| * In der Praxis hat es sich bewährt, hierzu besser mehrere kurze als eine lange Sitzung mit allen beteiligten Mitarbeitern durchzuführen.
| |
| * Es sollten Informationssicherheitsbeauftragte, Fachverantwortliche, Administratoren und Benutzer des jeweils betrachteten Zielobjekts und gegebenenfalls auch externe Sachverständige daran teilnehmen.
| |
| Es sollte ein Moderator benannt werden.
| |
| * Der Arbeitsauftrag an die Teilnehmer sollte klar formuliert sein und die Zeit für die Sitzungen begrenzt werden.
| |
| Damit die für die jeweiligen Schritte der Risikoanalyse notwendigen Beschlüsse direkt konsolidiert werden können, z. B. zu Risikoakzeptanz, Kosten und Umsetzbarkeit, sollte (zumindest gegen Ende)
| |
| ein Vertreter der Leitungsebene anwesend sein.
| |
| Das Team sollte nicht zu groß sein (bewährt haben sich vier bis acht Personen).
| |
| * Es sollte im Team eine ausreichende Expertise für alle Aspekte des betrachteten Bereichs vorhanden sein:
| |
| * Der Moderator sollte schon an Risikoanalysen teilgenommen haben, sodass er die Vorgehensweise kennt.
| |
| * Die Besprechung sollte unter Rahmenbedingungen stattfinden, die ein ungestörtes Arbeiten ermöglichen, da eine hohe Konzentration erforderlich ist.
| |
| * Der Analysebereich sollte klar abgegrenzt werden.
| |
| * Es muss ein klarer Maßstab für die Bewertung von Risiken festgelegt werden, damit alle Risiken mit demselben Niveau behandelt werden und die ergriffenen Maßnahmen vergleichbar und nachvoll ziehbar sind.
| |
|
| |
| [[Kategorie:Grundschutz/Standard/200-3]] | | [[Kategorie:Grundschutz/Standard/200-3]] |
| </noinclude> | | </noinclude> |