|
|
| Zeile 9: |
Zeile 9: |
|
| |
|
| <noinclude> | | <noinclude> |
|
| |
| = TMP =
| |
| ; Moderation einer Risikoanalyse
| |
| ; Für eine Risikoanalyse müssen Fachverantwortliche bzw. Experten für die jeweils betrachteten Zielobjekte miteinbezogen werden.
| |
| * In der Praxis hat es sich bewährt, hierzu besser mehrere kurze als eine lange Sitzung mit allen beteiligten Mitarbeitern durchzuführen.
| |
| * Es sollten Informationssicherheitsbeauftragte, Fachverantwortliche, Administratoren und Benutzer des jeweils betrachteten Zielobjekts und gegebenenfalls auch externe Sachverständige daran teilnehmen.
| |
|
| |
| ; Es sollte ein Moderator benannt werden.
| |
| * Der Arbeitsauftrag an die Teilnehmer sollte klar formuliert sein und die Zeit für die Sitzungen begrenzt werden.
| |
|
| |
| ; Leitungsebene
| |
| Damit die für die jeweiligen Schritte der Risikoanalyse notwendigen Beschlüsse direkt konsolidiert werden können, z. B. zu Risikoakzeptanz, Kosten und Umsetzbarkeit, sollte (zumindest gegen Ende)
| |
| ein Vertreter der Leitungsebene anwesend sein.
| |
|
| |
| ; Das Team sollte nicht zu groß sein (bewährt haben sich vier bis acht Personen).
| |
| * Es sollte im Team eine ausreichende Expertise für alle Aspekte des betrachteten Bereichs vorhanden sein:
| |
| * Der Moderator sollte schon an Risikoanalysen teilgenommen haben, sodass er die Vorgehensweise kennt.
| |
| * Die Besprechung sollte unter Rahmenbedingungen stattfinden, die ein ungestörtes Arbeiten ermöglichen, da eine hohe Konzentration erforderlich ist.
| |
| * Der Analysebereich sollte klar abgegrenzt werden.
| |
| * Es muss ein klarer Maßstab für die Bewertung von Risiken festgelegt werden, damit alle Risiken mit demselben Niveau behandelt werden und die ergriffenen Maßnahmen vergleichbar und nachvollziehbar sind.
| |
|
| |
|
| == Anhang == | | == Anhang == |