Suche aufrufen
Menü aufrufen
47
1377
10
35.978
HITGuard User Guide
Toggle preferences menu
Persönliches Menü aufrufen
Nicht angemeldet
Ihre IP-Adresse wird öffentlich sichtbar sein, wenn Sie Änderungen vornehmen.

Was sollte ich vorgehen, wenn ich eine Schutzbedarfsanalyse vornehmen möchte?

Aus HITGuard User Guide
Weitere Optionen

So starten Sie in das Arbeiten mit Schutzbedarfsanalysen:

  • Risikopolitik-Einstellungen setzen

Risikomanagement > Risikopolitik > Schutzziele Hier sollten Sie sicherstellen, dass die Schutzziele wie Verfügbarkeit, Vertraulichkeit und Integrität bzw. RTO und RPO aktiviert sind. Weitere Schutzziele wie Verfügbarkeitswerte für 2h, 4h, 8h, 24h, 48h können selbst erfasst werden.

Risikomanagement > Risikopolitik > Schutzbedarf Im Menüpunkt Risikomanagement können Experten in der Risikopolitik, sowohl das Schadensausmaß als auch die Schutzbedarfsklassen konfigurieren. Zum Hintergrund: Die Schadensausmaßklassen werden im Zuge der Schutzbedarfsanalyse verwendet, um festzulegen, wie hoch der Schaden für einen Prozess oder eine Organisationseinheit wäre, wenn ein IT-Service oder eine Datenkategorie nicht mehr die jeweiligen Schutzziele erfüllt (zB die Vertraulichkeit nicht mehr gewährleistet ist). Die in der Risikopolitik definierten Schadensausmaßklassen fallen je nach Höhe ihres SBA Kantengewichtes in unterschiedliche Schutzbedarfsklassen (je höher das Kantengewicht umso höher der Schutzbedarf). Genau dies gilt es unter Risikomanagement > Risikopolitik > Schutzbedarf zu konfigurieren. Die sogenannte SBA-Kantengewicht-Range (von bis) sorgt dafür, dass in der Strukturanalyse durch eine Abhängigkeitsanalyse auf Basis der Schutzbedarfsanalysen, eine Schutzbedarfsklasse für eine Datenkategorie oder Ressource ermittelt werden kann. Diese Ermittlung leitet sich über diese SBA-Kantengewicht-Range ab. Über alle eingehenden Schutzziel-Beziehungen je Ressource bzw. Datenkategorie wird dabei die Kantenabhängigkeit in % mit dem höchsten SBA-Wert ermittelt und daraus die zugehörige Schutzbedarfsklasse aus dem Range erhoben.

Alles weitere ist in der Reihenfolge nicht verpflichtend, aber empfohlen:

  • Wahl der Vorgehensweise

Entscheiden Sie sich nun als nächstes, ob Sie den Schutzbedarf z.B. bei den Organisationseinheiten, hinsichtlich Ihrer Abhängigkeit von speziellen Business IT-Services erheben möchten. Sie können sich aber auch für ein anderes Vorgehen entscheiden, nämlich zB Prozessverantwortliche zu interviewen, hinsichtlich der Abhängigkeit von Datenkategorien. Wir empfehlen Ihnen – für ein durchgängiges und leichter verständliches Analysemodell – sich für einen Weg der Analyse zu entscheiden.

  • Auditplanung

Sie können nun, nachdem Sie entschieden haben, ob Sie mit Organisationseinheiten und deren Verantwortlichen bzw. mit Prozessverantwortlichen die Schutzbedarfsanalyse führen wollen, eine Auditplanung erstellen. Planen Sie vorab mit wem Sie wann ein Interview oder Self-Assessment anberaumen.

  • Durchführung der Schutzbedarfsanalysen

Wenn es sich um ein Re-Audit handelt, dann schlägt Ihnen das Tool automatisch die zuletzt bereits analysierten IT-Services bzw. Datenkategorien zur jeweiligen Organisationseinheit bzw. dem jeweiligen Prozess vor. Sie können dann auch jederzeit die historischen Antworten im Zuge des Interviews / Self Assessments einsehen. Andernfalls müssen beim Erst-Audit die zu besprechenden IT-Services oder Datenkategorien erste erhoben werden. Bei den Datenkategorien lässt Sie das Tool nur die obersten Ebenen der Datenarten analysieren. Bei den IT-Services können Sie aus allen Ressourcen wählen, die auf der Modellebene „Anwendungsebene“ erfasst wurden. IdR sollten dies die Business-IT-Services sein.

Abgerufen von „https://userguide.hitguard.de/index.php?title=Was_sollte_ich_vorgehen,_wenn_ich_eine_Schutzbedarfsanalyse_vornehmen_möchte%3F&oldid=3139
Zuletzt geändert
Diese Seite wurde zuletzt am 27. September 2019 um 09:42 Uhr bearbeitet.