Skip to content

Steuerung, Risiko und Compliance

Liefert ein Höchstmaß an Vertrauen und Sicherheitsfeatures

Absichtserklärung

Drückt den Willen zweier Unternehmen aus, miteinander zu arbeiten.

CVSS3

(Common Vulnerability Scoring System Version 3.0)[https://www.first.org/cvss/calculator/3.0] - Attack Vector - Attack Complexity - Priviledges Required - User Interaction - Scope - Confidentiality - Integrity - Availability

ISO

  • ISO 27701
    • Norm bietet Leitlinien an für den Schutz der privatsphäre und den Umgang mit persönlichen Daten.
  • ISO 31000
    • Norm zu Hilfe um ein Risikomanagement Program zu designen und zu implementieren.

Lockhead Martin Killchain

  1. Erkundung
  2. Bewaffnung
  3. Auslieferung
  4. Verwertung
  5. Installation
  6. Command and Control
  7. Action on objectives

Nutzungsbedingungen

Ein Dokument das Grenzen und Verhalten vorschreibt, denen ein Nutzer zustimmen muss, bevor er sich mit dem Unternehmensnetzwerk oder dem Internet verbindet.

Risikomanagement

  • Wiederherstellungspunkt (RPO – Recovery Point Objective)
    • Menge an Datenverlust die ein System aushalten kann (gemessen in Zeit)
  • Wiederherstellungsdauer (RTO – Recovery Time Objective)
    • Die Menge an Ausfallzeit die Unternehmen tolerieren kann, während einer Wiederherstellung.

Service Organized Control

  • SOC1
    • Report zur Überprüfung und Sicherstellung von Kontrollen die Einflüsse auf die Unternehmensbilanz haben
  • SOC2
    • Report zur Überprüfung und Sicherstellung von Kontrollen die Einflüsse auf die Sicherheit und Privatsphäre haben.
      • TYPE-1
        • Kontrollen implementiert?
      • TYPE-2
        • Kontrollen wirksam?

Sicherheitskontrollen

  • Abschreckende Sicherheitsmaßnahmen
    • Soll entmutigen gegen aktuelle Sicherheitsrichtlinien zu verstoßen.
  • Verbessernde Sicherheitsmaßnahmen
    • Maßnahmen, die eine Schwachstelle beseitigen oder beheben.

SPI

Sensible personengebundene Informationen.
Können nicht benutzt werden, um eine Person eindeutig zu identifizieren.