Risikopolitik

Jede Norm bzw. jedes Managementsystem verfolgt einen vorgegebenen Zweck. Es werden Ziele definiert um deren Schutz sicherzustellen. Originäre Schutzziele (nach ISO 27001, ISO 80001):

• Vertraulichkeit
• Verfügbarkeit
• Integrität

Mit den originären Schutzzielen wird in weiterer Folge im Security Assessor im Rahmen der Risikobewertungen sowie der Strukturanalyse gearbeitet. Diese Ziele werden in den Fragenkatalogen auf Fragen gemappt bzw. ggf. auch auf andere Risiken oder Maßnahmen. Diese Schutzziele können zwar umbenannt oder deaktiviert werden, aber nicht gelöscht. Diese sind unter "Security Assessor ==> Risikopolitik ==> Schutzziele" als "Herstellerspezifisches Schutzziel" gekennzeichnet. Weitere Schutzziele können von Benutzern frei erstellt und bearbeitet werden.

Die Eintrittswahrscheinlichkeit bezeichnet die geschätzte Wahrscheinlichkeit für das Eintreten eines bestimmten Ereignisses in einem bestimmten Zeitraum in der Zukunft (z.B. 1x in 30 Jahren). Klassen an Eintrittswahrscheinlichkeiten können drei definiert werden. Die Anzahl der Kategorien, der Name der Eintrittswahrscheinlichkeitsklassen sowie deren verbale Beschreibung und hinterlegte Eintrittswahrscheinlichkeiten (in Häufigkeit je Zeitraum) ist dabei frei konfigurierbar. Risikofaktor:

Der Risikofaktor dient als Multiplikator für die Berechnung der Risikokennzahl eines Risikos. Dabei wird der Risikofaktor der gewählten Eintrittswahscheinlichkeit mit dem Risikofaktor des gewählten Schadensausmaßes multipliziert und so die Risikokenntahl ermittelt.

Die Risikokennzahl dient zur Reihung der Risiken. Je höher die Risikokennzahl des größer die Bedeutung des Risikos.

Beispiel in Anlehnung und Erweiterung zu TR719 (80001):

• Tabelle des Spezifikationswordes einfügen