Suche aufrufen
Menü aufrufen
47
1377
10
35.978
HITGuard User Guide
Toggle preferences menu
Persönliches Menü aufrufen
Nicht angemeldet
Ihre IP-Adresse wird öffentlich sichtbar sein, wenn Sie Änderungen vornehmen.

Wie sollte ich vorgehen, wenn ich eine Schutzbedarfsanalyse vornehmen möchte?

Aus HITGuard User Guide
Weitere Optionen

So starten Sie in das Arbeiten mit Schutzbedarfsanalysen:

  • Risikopolitik-Einstellungen setzen

Risikomanagement > Risikopolitik > Schutzziele
Hier sollten Sie sicherstellen, dass Schutzziele wie Verfügbarkeit, Vertraulichkeit und Integrität bzw. RTO und RPO aktiviert sind. Weitere Schutzziele wie die Verfügbarkeitswerte für 2, 4, 8, 24 oder 48 Stunden können selbst erfasst werden.

Risikomanagement > Risikopolitik > Schutzbedarf
Im Menüpunkt Risikomanagement können Experten in der Risikopolitik sowohl das Schadensausmaß als auch die Schutzbedarfsklassen konfigurieren.
Zum Hintergrund: Die Schadensausmaßklassen werden im Zuge der Schutzbedarfsanalyse verwendet, um festzulegen, wie hoch der Schaden für einen Prozess oder eine Organisationseinheit wäre, wenn ein IT-Service oder eine Datenkategorie nicht mehr die jeweiligen Schutzziele erfüllt (z.B. wenn die Vertraulichkeit nicht mehr gewährleistet ist). Die in der Risikopolitik definierten Schadensausmaßklassen fallen je nach Höhe ihres Kantengewichtes in der Schutzbedarfsanalyse in unterschiedliche Schutzbedarfsklassen (je höher das Kantengewicht umso höher der Schutzbedarf). Genau dies gilt es unter Risikomanagement > Risikopolitik > Schutzbedarf zu konfigurieren.
Die sogenannte SBA-Kantengewicht-Range (von-bis) sorgt dafür, dass in der Strukturanalyse durch eine Abhängigkeitsanalyse auf Basis der Schutzbedarfsanalysen eine Schutzbedarfsklasse für eine Datenkategorie oder Ressource ermittelt werden kann. Diese Ermittlung leitet sich über diese SBA-Kantengewicht-Range ab. Über alle eingehenden Schutzziel-Beziehungen je Ressource bzw. Datenkategorie wird die Kantenabhängigkeit in Prozent mit dem höchsten SBA-Wert ermittelt und daraus die zugehörige Schutzbedarfsklasse aus dem Range erhoben.

Alles weitere ist in der Reihenfolge nicht verpflichtend, aber empfohlen:

  • Wahl der Vorgehensweise

Entscheiden Sie sich nun als nächstes, ob Sie den Schutzbedarf z.B. bei den Organisationseinheiten, hinsichtlich Ihrer Abhängigkeit von speziellen Business IT-Services erheben möchten. Sie können sich aber auch für ein anderes Vorgehen entscheiden. Es ist beispielsweise Prozessverantwortliche hinsichtlich der Abhängigkeit von Datenkategorien zu interviewen. Wir empfehlen Ihnen – für ein durchgängiges und leichter verständliches Analysemodell – sich für einen Weg der Analyse zu entscheiden.

  • Auditplanung

Sie können nun, nachdem Sie entschieden haben, ob Sie mit Organisationseinheiten und deren Verantwortlichen bzw. mit Prozessverantwortlichen die Schutzbedarfsanalyse führen wollen, eine Auditplanung erstellen. Planen Sie mit wem und zu welchem Zeitpunkt Sie ein Interview oder Self Assessment anberaumen.

  • Durchführung der Schutzbedarfsanalysen

Wenn es sich um ein Re-Audit handelt, dann schlägt Ihnen das Tool automatisch die zuletzt analysierten IT-Services bzw. Datenkategorien zur jeweiligen Organisationseinheit bzw. dem jeweiligen Prozess vor. Sie können dann jederzeit die Antworten im Zuge des Interviews/Self Assessments in der Historie einsehen.
Andernfalls müssen beim Erst-Audit die zu besprechenden IT-Services oder Datenkategorien erst erhoben werden. Bei den Datenkategorien lässt Sie das Tool nur die obersten Ebenen der Datenarten analysieren. Bei den IT-Services können Sie aus allen Ressourcen wählen, die auf der Modellebene „Anwendungsebene“ erfasst wurden. In der Regel sollten dies die Business-IT-Services sein.

Abgerufen von „https://userguide.hitguard.de/index.php?title=Wie_sollte_ich_vorgehen,_wenn_ich_eine_Schutzbedarfsanalyse_vornehmen_möchte%3F&oldid=33514
Zuletzt geändert
Diese Seite wurde zuletzt am 23. Januar 2025 um 09:40 Uhr bearbeitet.