Benutzer-Werkzeuge

Webseiten-Werkzeuge


Seitenleiste

Ihr Inhalt

10000:a1

Anhang A

A 1 Verfahren

VdS 10000
G1 Die Organisation MUSS die in diesen Richtlinien geforderten Verfahren planen, steuern und stetig verbessern.
E1 Dies SOLLTE im Rahmen eines Qualitätsmanagements auf Basis eines anerkannten Standards wie z. B. DIN EN ISO 9001 geschehen.
G2 Wenn eine andere Vorgehensweise gewählt wird, MÜSSEN folgende Anforderungen erfüllt werden:
G2.1 1. Es wird definiert, wer für die Durchführung verantwortlich ist.
G2.2 2. Verfahren werden in einer für die jeweilige Zielgruppe zugänglichen und verständlichen Form dokumentiert und bekannt gegeben.
G2.3 3. Verfahren werden verbessert, wenn Mängel in ihrer Umsetzung, Angemessenheit oder Effektivität erkannt werden.
G2.4 4. Umsetzung, Angemessenheit und Effektivität werden jährlich bei einem Drittel der Verfahren überprüft. Die zu überprüfenden Verfahren werden nach dem Zufallsprinzip ausgewählt. Wenn die jährliche Überprüfung ergibt, dass mehr als die Hälfte der überprüften Verfahren mängelbehaftet ist, werden alle Verfahren überprüft.

A 2 Risikoanalyse und -behandlung

VdS 10000
G1 Die Organisation MUSS die in diesen Richtlinien geforderten Risikoanalysen durchführen und erkannte Risiken zeitnah und angemessen behandeln.
E1 Dies SOLLTE im Rahmen eines Risikomanagements auf Basis eines anerkannten Standards wie BSI-Standard 200-3, ISO/IEC 27005 oder ISO 31000 erfolgen.
G2 Wenn eine andere Vorgehensweise gewählt wird, so MUSS hierfür ein Verfahren (siehe Anhang A 1) implementiert werden, das die Anforderungen folgender Abschnitte erfüllt.

A 2.1 Risikoanalyse

VdS 10000
G1 Eine Risikoanalyse MUSS folgende Anforderungen erfüllen:
G1.1 1. Ihre Dokumentation beinhaltet das Vorgehen für das Identifizieren und Bewerten von Risiken.
G1.2 2. Die Vorgehensweise gewährleistet, dass Bedrohungen und Schwachstellen zuverlässig erkannt werden können.
G1.3 3. Die Bewertung von Risiken erfolgt auf Basis der potentiellen Schäden und deren Eintrittswahrscheinlichkeit.
G1.4 4. Das Ergebnis der Risikoanalyse ermöglicht eine Priorisierung bei der Risikobehandlung.

A 2.2 Risikobehandlung

VdS 10000
G1 Identifizierte Risiken MÜSSEN zeitnah und priorisiert behandelt werden, indem geeignete Maßnahmen zur Vermeidung, Reduzierung oder Übertragung der Risiken (z. B. durch den Abschluss einer Versicherung) definiert, dokumentiert und umgesetzt werden.
G2 Die Umsetzung MUSS kontrolliert und auf Wirksamkeit geprüft werden.
G3 Wenn Risiken nicht angemessen behandelt werden können, MÜSSEN sie vom Topmanagement akzeptiert und dies dokumentiert werden.

A 2.3 Wiederholung und Anpassung

VdS 10000
G1 Risikoanalysen MÜSSEN jährlich auf ihre Aktualität geprüft und bei Bedarf wiederholt werden.
G2 Risikoanalysen MÜSSEN darüber hinaus zeitnah überarbeitet werden, wenn eine der folgenden Faktoren auftritt:
G2.1 1. Der Gegenstand der Risikoanalyse hat sich wesentlich verändert (z. B. die Hardware, die Software oder die Konfiguration eines IT-Systems).
G2.2 2. Der Einsatzzweck des untersuchten Gegenstands hat sich wesentlich geändert.
G2.3 3. Die Gefährdungslage hat sich erhöht (z. B. wenn eine neue Gefährdung bekannt wurde oder sich eine bestehende Gefährdung wesentlich erhöht hat).
10000/a1.txt · Zuletzt geändert: 24.01.2020 16:52 (Externe Bearbeitung)

Hier finden Sie unser Impressum und unsere Datenschutzerklärung.