Risikopolitik: Unterschied zwischen den Versionen

← Zum vorherigen Versionsunterschied Zum nächsten Versionsunterschied →

Version vom 10. November 2020, 17:52 Uhr

Alle Einstellungen und Konfigurationen, die hier getroffen werden, sind global gültig. Sie wirken sich auf alle Managementsysteme aus und können nur von Experten oder Administratoren bearbeitet werden.

Schutzziele

Jede Norm bzw. jedes Managementsystem verfolgt einen vorgegebenen Zweck. Es werden Ziele definiert um deren Schutz sicherzustellen.

Herstellerspezifische Schutzziele (nach ISO 27001, ISO 80001):

Vertraulichkeit
Verfügbarkeit
Integrität

Mit den herstellerspezifischen Schutzzielen wird in weiterer Folge in der Risikobewertung sowie der Strukturanalyse gearbeitet. Diese Ziele werden in den Wissensdatenbanken auf Prüffragen oder gegebenenfalls auf andere Risiken oder Maßnahmen gemappt. Diese Schutzziele können zwar umbenannt oder deaktiviert aber nicht gelöscht werden. Sie sind unter "Risikomanagement → Risikopolitik → Schutzziele" als "Herstellerspezifisches Schutzziel" gekennzeichnet.

Weitere Schutzziele können von Experten frei definiert und bearbeitet werden.

Beispiel für Schutzziele:

Herstellerspezifische Schutzziele importieren

Da manche herstellerspezifischen Schutzziele nur für gewisse Branchen benötigt werden, werden standardmäßig nicht alle von uns definierten Schutzziele mit ausgeliefert. Diese können allerdings, wenn benötigt, dennoch importiert werden. Dafür muss lediglich auf den Pfeil neben dem Plus geklickt werden und das gewünschte Schutzziel zum Importieren ausgewählt werden.

Diese Funktion wird zum Beispiel benötigt um von uns erstellte Wissensdatenbanken zu importieren, die ein nicht standardmäßig ausgeliefertes Schutzziel benötigen.

Eintrittswahrscheinlichkeiten

Die Eintrittswahrscheinlichkeit bezeichnet die geschätzte Wahrscheinlichkeit für das Eintreten eines bestimmten Ereignisses in einem bestimmten zukünftigen Zeitraum (z.B. ein Mal in 30 Jahren).

Klassen an Eintrittswahrscheinlichkeiten können, wie die Abbildung unten zeigt, frei definiert werden. Die Anzahl der Kategorien, der Name der Eintrittswahrscheinlichkeitsklassen sowie deren Beschreibung und hinterlegte Eintrittswahrscheinlichkeiten (in Häufigkeit je Zeitraum) ist dabei frei konfigurierbar.

Risikofaktor:

Der Risikofaktor dient als Multiplikator für die Berechnung der Risikokennzahl eines Risikos. Dabei wird der Risikofaktor der gewählten Eintrittswahrscheinlichkeit mit dem Risikofaktor des gewählten Schadensausmaßes multipliziert und so die Risikokennzahl ermittelt.

Die Risikokennzahl dient zur Reihung der Risiken. Je höher die Risikokennzahl desto größer die Bedeutung des Risikos.

Beispiel in Anlehnung und Erweiterung zu TR719 (80001):

Eintrittswahrscheinlich- keitsklassen	Definition
Extrem selten	Mindestens ein Mal in 30 Jahren
Extrem selten	Es ist sehr unwahrscheinlich, dass unbeabsichtigte Auswirkungen auftreten.
Sehr selten	Mindestens ein Mal in 10 Jahren
Sehr selten	Es ist nicht wahrscheinlich, dass unbeabsichtigte Auswirkungen auftreten.
Selten	Mindestens ein Mal in 3 Jahren
Selten	Es können hin und wieder unbeabsichtigte Auswirkungen auftreten.
Wahrscheinlich	Mindestens ein Mal jährlich
Wahrscheinlich	Es ist wahrscheinlich, dass unbeabsichtigte Auswirkungen auftreten.
Häufig	Mindestens ein Mal monatlich
Häufig	Unbeabsichtigte Auswirkungen treten häufig auf.
Sehr häufig	Mindestens ein Mal wöchentlich oder mehr
Sehr häufig	Unbeabsichtigte Auswirkungen treten sehr häufig bzw. nahezu immer auf.

Kriterien für Schadensausmaße

Ein Schaden muss nicht zwingend monetärer Natur sein. Er kann auch durch Effektivitätsverlust, Imageschaden oder Patientenschaden bestimmt werden. Aus diesem Grund bietet HITGuard die Möglichkeit Kriterien für Schadensausmaße frei zu konfigurieren. Diese Kriterien können dann wiederum auf Schadensausmaßklassen gemapped und dadurch für Schutzbedarfsanalysen verwendet werden.

Kriterien Schadensausmaße können unter "Risikomanagement → Risikopolitik → Kriterien für Schadensausmaße" definiert werden.

Schadensausmaße

Schadensausmaße werden in Klassen unterteilt. Die Schadensausmaßklassen orientieren sich an der Risikotragfähigkeit des Unternehmens. Die höchste Schadensausmaßklasse sollte sich daher an dem maximalen, für das Unternehmen tragbaren, Schaden orientieren.

Möchten Sie in einem oder mehreren Managementsystemen unterschiedliche Schadensausmaßklassen verwenden, dann legen Sie hierfür eine zusätzliche Schadensausmaßklassifikation an. Für diese können Sie anschließend neue Schadensausmaßklassen erstellen.

Weisen Sie anschließend die neu erstellte Klassifikation unter "Administration → Managementsysteme" dem gewünschten Managementsystem unter "Allgemeine Einstellungen" als Klassifikation zu.

Klassen und Klassifikationen können von Administratoren und Experten durch klicken auf das Plus neben den Klassen / Klassifikationen definiert werden. (siehe Abbildung)

Monetärer Schaden:

Hier wird definiert, wie hoch ein monetärer Schaden einer Klasse ausfällt.

SBA Kantengewicht:

Dieser Wert stellt die Abhängigkeit, den der Schadensausmaß in einer Schutzbedarfsanalyse repräsentiert, in Prozent dar und wird im Graphen als Kantengewicht verwendet.

Grundlage der Ermittlung des Wertes kann beispielsweise die Untergrenze, Obergrenze oder der Mittelwert einer Schutzbedarfsklasse sein.

Beispiel:

Schadensausmaßklasse	SBA Kantengewicht
Unbedeutend	10%
Gering	20%
Moderat	40%
Hoch	60%
Katastrophal	100%

Risikofaktor:

siehe hier

Kriterium hinzufügen:

Hier können die bereits erstellten Kriterien auf eine Schadensausmaßklasse gemapped werden. Zudem sollte im Kontext der Klasse beschrieben werden welcher Schaden auftreten muss um ein Kriterium zu erfüllen.

Beispiele für Schadensausmaßklassen:

Schadensausmaßklasse	Definition
Gering	Monetärer Schaden: > 5T EUR und <= 25EUR
	Patientenschaden: geringe und kurzzeitige Unannehmlichkeiten
	Effektivitätsverlust: kein oder sehr begrenzter Einfluss auf Operationen/Prozeduren
	Daten- und Systemsicherheit: Bekanntwerden einer entsprechenden Bedrohung oder Schwachstelle hat vernachlässigbaren Einfluss
Moderat	Monetärer Schaden: > 25T EUR und <= 100T EUR
	Patientenschaden: zeitlich begrenzte und geringere Verletzungen, medizinische Intervention erforderlich
	Effektivitätsverlust: sehr begrenzter oder belästigender Effekt auf Operationen/Maßnahmen
	Daten- und Systemsicherheit: Offenlegung sensibler Informationen könnte negative (finanzielle) Folgen haben und möglicherweise Ressourcenaufwand zur Beseitigung benötigen.
Katastrophal	Monetärer Schaden: > 10Mio EUR
	Patientenschaden: Tod
	Effektivitätsverlust: geplante Operationen/Prozeduren nicht mehr durchführbar
	Daten- und Systemsicherheit: Kann zu vollständiger Offenlegung sensibler Informationen führen

Schutzzielausprägungen

Da Schutzziele in verschiedenen Klassifikationen andere Bedeutung haben können, ist es möglich Schutzziele für die jeweiligen Klassifikationen hinsichtlich ihrer Benennung zu konkretisieren. So kann das Schutzziel "Vertraulichkeit" im Kontext der Datenschutz Klassifikation als Privatsphäre interpretiert werden (siehe Abbildung). Dadurch wird überall dort, wo das Schutzziel angewandt wird, die Schutzzielausprägung der Schadensausmaßklassifikation des Managementsystems Datenschutz - also die Bezeichnung "Privatsphäre" - angezeigt.

Dieser Menüpunkt ist nur sichtbar wenn mindestens zwei Schadensausmaßklassifikationen existieren.

Schutzbedarf

Der Schutzbedarf einer Ressource, Organisationseinheit, Datenkategorie oder eines Prozesses orientiert sich am Ausmaß der Schäden, die entstehen können, wenn die Funktionsweise beeinträchtigt ist. Da die Höhe eines Schadens häufig nicht genau bestimmt werden kann, sollten Sie für Ihren Anwendungszweck passende Klassen definieren.

Schutzbedarfsklassen können unter "Risikomanagement → Risikopolitik → Schutzbedarf" von Administratoren oder Experten erstellt und verwaltet werden.

Die zuvor definierten Schadensausmaßklassen fallen je nach Höhe Ihres SBA Kantengewichtes in unterschiedliche Schutzbedarfsklassen (je höher das Kantengewicht umso höher der Schutzbedarf).

Die sogenannte SBA-Kantengewicht-Range (von bis) sorgt dafür, dass in der Strukturanalyse durch eine Abhängigkeitsanalyse, eine Schutzbedarfsklasse für eine Datenkategorie oder Ressource ermittelt werden kann. Diese Ermittlung leitet sich über die SBA-Kantengewicht-Range ab. Über alle eingehenden Schutzziel-Beziehungen je Ressource bzw. Datenkategorie wird die Kantenabhängigkeit in Prozent mit dem höchsten SBA-Wert ermittelt und daraus die zugehörige Schutzbedarfsklasse aus dem Range erhoben.

Die Farbe dient zur Signalisierung der Wichtigkeit einer klasse in der Strukturanalyse.

Beispiele für Schutzbedarfsklassen:

Normal: Die Schadensauswirkungen sind begrenzt und überschaubar.(0-30% SBA Kantengewicht)
Hoch: Die Schadensauswirkungen können beträchtlich sein.(30-70% SBA Kantengewicht)
Sehr Hoch: Die Schadensauswirkungen können ein existentiell bedrohliches, katastrophales Ausmaß erreichen.(70-100% SBA Kantengewicht)

Risikomatrix

Die Risikomatrix ergibt sich für jede Schutzbedarfsklasse aus der Kombination von Schadensausmaß (Vertikal) und Eintrittswahrscheinlichkeit (Horizontal). Hierzu werden die jeweiligen Risikofaktoren multipliziert um die Risikokennzahl zu erhalten. Je höher die Risikokennzahl desto kritischer ist ein Risiko und umso dringender muss ein Risiko behandelt werden um schwerwiegende Folgen zu verhindern.

Administratoren und Experten können unter "Risikomanagement → Risikopolitik → Risikomatrix" festlegen in welcher Farbe eine Risikokennzahl im Dashboard und der Strukturanalyse angezeigt wird (je kritischer und dringender, desto alarmierender sollte die Farbe sein). Weiters dient die Risikokennzahl der Reihung der Risiken auf dem Dashboard.

Für jede Schadensausmaßklassifikation gibt es eine eigene Risikomatrix, die konfiguriert werden kann.

Datenklassen

Die Datenklassifikation gibt vor wie Daten, abhängig von ihrer Klassifizierung, zu handhaben sind. Dies richtet sich nach der Vertraulichkeit der Daten und dem damit einhergehenden erwünschtem Schutzniveau.

Die Anzahl der Kategorien, der Name der Datenklasse sowie deren Beschreibung sind frei definierbar. Eine neue Klasse kann über den „Plus Button“ erstellt werden.

Üblicherweise kann man eine Assoziation ableiten, sodass der unterschiedlich geltende Schutzbedarf je Datenklasse über die, mit dem Vertraulichkeitsrisiko zusammenhängende Schadensausmaßklasse zu erklären ist. Daher ist ein Mapping zwischen Daten- und Schadensausmaßklassen möglich.

Existieren mehrere Schadensausmaßklassifikationen, so muss ausgewählt werden von welcher Klassifikation das Schadensausmaß stammt.

Beispiel:

Datenklassen	Schadensausmaßklasse
Öffentlich	Sehr Gering (Standard)
Intern	Mittel (Standard)
Vertraulich	Groß (Standard)
Geheim	Sehr Groß (Standard)

@@ Zeile 2: / Zeile 2: @@
 <!--T:1-->
 <span id="riskpolicy"></span>
-Alle Einstellungen und Konfigurationen, die hier getroffen werden, sind global gültig. D.h. sie wirken sich auf '''alle Managementsysteme''' aus und können nur von Experten oder Administratoren bearbeitet werden..
+Alle Einstellungen und Konfigurationen, die hier getroffen werden, sind global gültig. Sie wirken sich auf '''alle Managementsysteme''' aus und können nur von Experten oder Administratoren bearbeitet werden.
 == <span id="protar"></span>Schutzziele == <!--T:2-->
@@ Zeile 14: / Zeile 14: @@
 *Verfügbarkeit
 *Integrität
-Mit den herstellerspezifischen Schutzzielen wird in weiterer Folge in der Risikobewertung sowie der Strukturanalyse gearbeitet. Diese Ziele werden in den Wissensdatenbanken auf Prüffragen gemappt bzw. ggf. auch auf andere Risiken oder Maßnahmen. Diese Schutzziele können zwar umbenannt oder deaktiviert werden, aber nicht gelöscht. Sie sind unter "Risikomanagement → Risikopolitik → Schutzziele" als "Herstellerspezifisches Schutzziel" gekennzeichnet.<br>
+Mit den herstellerspezifischen Schutzzielen wird in weiterer Folge in der Risikobewertung sowie der Strukturanalyse gearbeitet. Diese Ziele werden in den Wissensdatenbanken auf Prüffragen oder gegebenenfalls auf andere Risiken oder Maßnahmen gemappt. Diese Schutzziele können zwar umbenannt oder deaktiviert aber nicht gelöscht werden. Sie sind unter "Risikomanagement → Risikopolitik → Schutzziele" als "Herstellerspezifisches Schutzziel" gekennzeichnet.<br>
 <!--T:5-->
@@ Zeile 27: / Zeile 27: @@
 === Herstellerspezifische Schutzziele importieren ===
-Da manche herstellerspezifischen Schutzziele nur für gewisse Branchen benötigt werden, werden Standardmäßig nicht alle von uns definierten Schutzziele mit ausgeliefert. Diese können allerdings wenn benötigt dennoch importiert werden. Dafür muss lediglich auf den Pfeil neben dem Plus geklickt werden und das gewünschte Schutzziel zum importieren ausgewählt werden.
+Da manche herstellerspezifischen Schutzziele nur für gewisse Branchen benötigt werden, werden standardmäßig nicht alle von uns definierten Schutzziele mit ausgeliefert. Diese können allerdings, wenn benötigt, dennoch importiert werden. Dafür muss lediglich auf den Pfeil neben dem Plus geklickt werden und das gewünschte Schutzziel zum Importieren ausgewählt werden.
-Diese Funktion wird zum Beispiel benötigt um von uns erstellte Wissensdatenbanken zu importieren die ein nicht Standardmäßig ausgeliefertes Schutzziel benötigen.
+Diese Funktion wird zum Beispiel benötigt um von uns erstellte Wissensdatenbanken zu importieren, die ein nicht standardmäßig ausgeliefertes Schutzziel benötigen.
 == <span id="prob"></span>Eintrittswahrscheinlichkeiten == <!--T:8-->
 <!--T:9-->
-Die Eintrittswahrscheinlichkeit bezeichnet die geschätzte Wahrscheinlichkeit für das Eintreten eines bestimmten Ereignisses in einem bestimmten zukünftigen Zeitraum (z.B. 1x in 30 Jahren).<br>
+Die Eintrittswahrscheinlichkeit bezeichnet die geschätzte Wahrscheinlichkeit für das Eintreten eines bestimmten Ereignisses in einem bestimmten zukünftigen Zeitraum (z.B. ein Mal in 30 Jahren).<br>
@@ Zeile 58: / Zeile 58: @@
 |-
 |rowspan = 2| Extrem selten
-| Mindestens einmal in 30 Jahren
+| Mindestens ein Mal in 30 Jahren
 |-
 | Es ist sehr unwahrscheinlich, dass unbeabsichtigte Auswirkungen auftreten.
 |-
 |rowspan = 2| Sehr selten
-| Mindestens einmal in 10 Jahren
+| Mindestens ein Mal in 10 Jahren
 |-
 |Es ist nicht wahrscheinlich, dass unbeabsichtigte Auswirkungen auftreten.
 |-
 |rowspan = 2| Selten
-| Mindestens einmal in 3 Jahren
+| Mindestens ein Mal in 3 Jahren
 |-
 | Es können hin und wieder unbeabsichtigte Auswirkungen auftreten.
 |-
 |rowspan = 2| Wahrscheinlich
-| Mindestens einmal jährlich
+| Mindestens ein Mal jährlich
 |-
 | Es ist wahrscheinlich, dass unbeabsichtigte Auswirkungen auftreten.
 |-
 |rowspan = 2| Häufig
-| Mindestens einmal monatlich
+| Mindestens ein Mal monatlich
 |-
 | Unbeabsichtigte Auswirkungen treten häufig auf.
 |-
 |rowspan = 2| Sehr häufig
-| Mindestens einmal wöchentlich oder mehr
+| Mindestens ein Mal wöchentlich oder mehr
 |-
 | Unbeabsichtigte Auswirkungen treten sehr häufig bzw. nahezu immer auf.
@@ Zeile 91: / Zeile 91: @@
 <!--T:15-->
-Ein Schaden ist nicht zwingend monetärer Natur. Er kann z.B: durch Effektivitätsverlust, Imageschaden oder Patientenschaden bestimmt werden. Aus diesem Grund bietet HITGuard die Möglichkeit Kriterien für Schadensausmaße frei zu konfigurieren. Diese Kriterien können dann wiederum auf Schadensausmaßklassen gemapped werden, und dadurch für Schutzbedarfsanalysen verwendet werden
+Ein Schaden muss nicht zwingend monetärer Natur sein. Er kann auch durch Effektivitätsverlust, Imageschaden oder Patientenschaden bestimmt werden. Aus diesem Grund bietet HITGuard die Möglichkeit Kriterien für Schadensausmaße frei zu konfigurieren. Diese Kriterien können dann wiederum auf Schadensausmaßklassen gemapped und dadurch für Schutzbedarfsanalysen verwendet werden.
 <!--T:16-->
@@ Zeile 104: / Zeile 104: @@
 <!--T:19-->
-Schadensausmaße werden in Klassen unterteilt. Die Schadensausmaßklassen orientieren sich dabei an der Risikotragfähigkeit des Unternehmens. Die höchste Schadensausmaßklasse sollte sich daher an dem maximalen für das Unternehmen tragbaren Schadens orientieren.
+Schadensausmaße werden in Klassen unterteilt. Die Schadensausmaßklassen orientieren sich an der Risikotragfähigkeit des Unternehmens. Die höchste Schadensausmaßklasse sollte sich daher an dem maximalen, für das Unternehmen tragbaren, Schaden orientieren.
-Möchten Sie in einem oder mehreren Managementsystemen unterschiedliche Schadensausmaßklassen verwenden, dann legen Sie hierfür eine zusätzliche Schadensausmaßklassifikation an. Für diese Schadensausmaßklassifikation können Sie anschließend neue Schadensausmaßklassen erstellen.
+Möchten Sie in einem oder mehreren Managementsystemen unterschiedliche Schadensausmaßklassen verwenden, dann legen Sie hierfür eine zusätzliche Schadensausmaßklassifikation an. Für diese können Sie anschließend neue Schadensausmaßklassen erstellen.
 Weisen Sie anschließend die neu erstellte Klassifikation unter "Administration → Managementsysteme" dem gewünschten Managementsystem unter "Allgemeine Einstellungen" als Klassifikation zu.
@@ Zeile 123: / Zeile 123: @@
 <u><span id="BIA edge weights"></span>SBA Kantengewicht:</u>
 : Dieser Wert stellt die Abhängigkeit, den der Schadensausmaß in einer Schutzbedarfsanalyse repräsentiert, in Prozent dar und wird im Graphen als Kantengewicht verwendet.
-:Grundlage der Ermittlung des Wertes kann z.B: die Untergrenze, Obergrenze oder der Mittelwert einer Schutzbedarfsklasse sein.
+:Grundlage der Ermittlung des Wertes kann beispielsweise die Untergrenze, Obergrenze oder der Mittelwert einer Schutzbedarfsklasse sein.
 <!--T:22-->
@@ Zeile 178: / Zeile 178: @@
 | Effektivitätsverlust: sehr begrenzter oder belästigender Effekt auf Operationen/Maßnahmen
 |-
-| Daten- und Systemsicherheit: Offenlegung sensibler Informationen könnte negative (finanzielle) Folgen haben und möglicherweise Ressour-cenaufwand zur Beseitigung bedingen
+| Daten- und Systemsicherheit: Offenlegung sensibler Informationen könnte negative (finanzielle) Folgen haben und möglicherweise Ressourcenaufwand zur Beseitigung benötigen.
 |-
 |rowspan = 4| Katastrophal
@@ Zeile 192: / Zeile 192: @@
 == <span id="Schutzzielausprägungen"></span>Schutzzielausprägungen==
-Da Schutzziele in verschiedenen Klassifikation andere Bedeutung haben können, ist es möglich Schutzziele für die jeweiligen Klassifikationen hinsichtlich ihrer Benennung zu konkretisieren. Z.B. kann das Schutzziel Vertraulichkeit im Kontext der Datenschutz Klassifikation als Privatsphäre interpretiert werden. (siehe Abbildung) Dadurch wird überall, wo das Schutzziel angewandt wird, die Schutzzielausprägung der Schadensausmaßklassifikation des Managementsystems Datenschutz - also die Bezeichnung "Privatsphäre" - angezeigt.
+Da Schutzziele in verschiedenen Klassifikationen andere Bedeutung haben können, ist es möglich Schutzziele für die jeweiligen Klassifikationen hinsichtlich ihrer Benennung zu konkretisieren. So kann das Schutzziel "Vertraulichkeit" im Kontext der Datenschutz Klassifikation als Privatsphäre interpretiert werden (siehe Abbildung). Dadurch wird überall dort, wo das Schutzziel angewandt wird, die Schutzzielausprägung der Schadensausmaßklassifikation des Managementsystems Datenschutz - also die Bezeichnung "Privatsphäre" - angezeigt.
-Dieser Menüpunkt ist nur sichtbar, falls mindestens 2 Schadensausmaßklassifikationen existieren.
+Dieser Menüpunkt ist nur sichtbar wenn mindestens zwei Schadensausmaßklassifikationen existieren.
 [[Datei:Schutzzielausprägungen.PNG|left|thumb|900px|Datei:Schutzzielausprägungen]]
@@ Zeile 212: / Zeile 212: @@
 <!--T:32-->
-Die zuvor definierten Schadensausmaßklassen fallen je nach höhe Ihres [[#BIA edge weights|SBA Kantengewichtes]] in unterschiedliche Schutzbedarfsklassen (je höher das Kantengewicht umso höher der Schutzbedarf).
+Die zuvor definierten Schadensausmaßklassen fallen je nach Höhe Ihres [[#BIA edge weights|SBA Kantengewichtes]] in unterschiedliche Schutzbedarfsklassen (je höher das Kantengewicht umso höher der Schutzbedarf).
 <!--T:33-->
-Die sogenannte SBA-Kantengewicht-Range (von bis) sorgt dafür, dass in der Strukturanalyse durch eine Abhängigkeitsanalyse, eine Schutzbedarfsklasse für eine Datenkategorie oder Ressource ermittelt werden kann. Diese Ermittlung leitet sich über die SBA-Kantengewicht-Range ab. Über alle eingehenden Schutzziel-Beziehungen je Ressource bzw. Datenkategorie wird dabei die Kantenabhängigkeit in % mit dem höchsten SBA-Wert ermittelt und daraus die zugehörige Schutzbedarfsklasse aus dem Range erhoben.
+Die sogenannte SBA-Kantengewicht-Range (von bis) sorgt dafür, dass in der Strukturanalyse durch eine Abhängigkeitsanalyse, eine Schutzbedarfsklasse für eine Datenkategorie oder Ressource ermittelt werden kann. Diese Ermittlung leitet sich über die SBA-Kantengewicht-Range ab. Über alle eingehenden Schutzziel-Beziehungen je Ressource bzw. Datenkategorie wird die Kantenabhängigkeit in Prozent mit dem höchsten SBA-Wert ermittelt und daraus die zugehörige Schutzbedarfsklasse aus dem Range erhoben.
 <!--T:34-->
@@ Zeile 233: / Zeile 233: @@
 <!--T:39-->
-Administratoren und Experten können unter "Risikomanagement → Risikopolitik → Risikomatrix" festlegen in welcher Farbe eine Risikokennzahl im Dashboard und der Strukturanalyse angezeigt wird (Je kritischer und dringender desto alarmierender sollte die Farbe sein). Weiters dient die Risikokennzahl der Reihung der Risiken auf dem Dashboard.
+Administratoren und Experten können unter "Risikomanagement → Risikopolitik → Risikomatrix" festlegen in welcher Farbe eine Risikokennzahl im Dashboard und der Strukturanalyse angezeigt wird (je kritischer und dringender, desto alarmierender sollte die Farbe sein). Weiters dient die Risikokennzahl der Reihung der Risiken auf dem Dashboard.
-Für jede Schadensausmaßklassifikation gibt es eine eigene Risikomatrix welche konfiguriert werden kann.
+Für jede Schadensausmaßklassifikation gibt es eine eigene Risikomatrix, die konfiguriert werden kann.
 <!--T:40-->
@@ Zeile 244: / Zeile 244: @@
 <!--T:42-->
-Die Datenklassifikation gibt vor wie Daten, abhängig von Ihrer Klassifizierung, zu handhaben sind. Dies richtet sich nach der Vertraulichkeit der Daten und dem damit einhergehenden erwünschtem Schutzniveau.
+Die Datenklassifikation gibt vor wie Daten, abhängig von ihrer Klassifizierung, zu handhaben sind. Dies richtet sich nach der Vertraulichkeit der Daten und dem damit einhergehenden erwünschtem Schutzniveau.
 <!--T:43-->
-Die Anzahl der Kategorien, der Name der Datenklasse sowie deren Beschreibung sind dabei frei definierbar. Eine neue Klasse kann über den „Plus Button“ erstellt werden.
+Die Anzahl der Kategorien, der Name der Datenklasse sowie deren Beschreibung sind frei definierbar. Eine neue Klasse kann über den „Plus Button“ erstellt werden.
 <!--T:44-->