Anlage 3
Risikomanagementmaßnahmen-Bereiche |
|
1. |
Leitungsorgane |
a. |
Rollen und Verantwortlichkeiten der Leitungsorgane |
2. |
Sicherheitsrichtlinien |
a. |
Sicherheitsrichtlinien |
b. |
Funktionen, Aufgaben und Verantwortlichkeiten |
3. |
Risikomanagement |
a. |
Risikomanagementrichtlinie und -prozess |
b. |
Beurteilung der Effektivität von Risikomanagementmaßnahmen |
c. |
Überwachung der Einhaltung von Vorgaben |
d. |
Unabhängige Überprüfungen |
4. |
Verwaltung von Vermögenswerten |
a. |
Inventarisierung von Vermögenswerten |
b. |
Klassifikation von Vermögenswerten |
c. |
Handhabung von Vermögenswerten |
d. |
Umgang mit Wechseldatenträger |
e. |
Rücknahme oder Löschung von Vermögenswerten |
5. |
Personalwesen |
a. |
Sicherheit im Personalwesen |
b. |
Hintergrundüberprüfung |
c. |
Verfahren bei Beendigung oder Wechsel des Beschäftigungsverhältnisses |
d. |
Disziplinarmaßnahmen |
6. |
Grundlegende Cyberhygienemaßnahmen und Cybersicherheitsschulungen |
a. |
Bewusstseinsschaffung und Cyberhygiene |
b. |
Cybersicherheitsschulungen |
7. |
Sicherheit von Lieferketten |
a. |
Richtlinie zur Sicherheit von Lieferketten |
b. |
Lieferantenverzeichnis |
8. |
Zugangssteuerung |
a. |
Zugangssteuerungsrichtlinie |
b. |
Verwaltung von Zugriffsberechtigungen |
c. |
Privilegierte und administrative Zugänge |
d. |
Systeme und Anwendungen zur Systemadministration |
e. |
Identifikation |
f. |
Authentifikation |
g. |
Multi-Faktor-Authentifikation |
9. |
Sicherheit bei Beschaffung, Entwicklung, Betrieb und Wartung |
a. |
Konfigurationsmanagement |
b. |
Änderungsmanagement und Wartung |
c. |
Umgang mit Schwachstellen und deren Offenlegung |
d. |
Sicherheitstests |
e. |
Patchmanagement |
f. |
Sicherheit bei der Beschaffung von Dienstleistungen, Systemen und Produkten |
g. |
Sichere Softwareentwicklung |
h. |
Netzwerksegmentierung |
i. |
Netzwerksicherheit |
j. |
Schutz vor bösartiger und unautorisierter Software |
10. |
Kryptographie |
a. |
Kryptographierichtlinie |
11. |
Umgang mit Cybersicherheitsvorfällen |
a. |
Richtlinie zum Umgang mit Cybersicherheitsvorfällen |
b. |
Überwachung und Protokollierung |
c. |
Meldung von Ereignissen |
d. |
Erhebung und Klassifikation von Ereignissen |
e. |
Reaktion auf Cybersicherheitsvorfällen |
f. |
Erkenntnisse nach Cybersicherheitsvorfällen |
12. |
Betriebskontinuitäts- und Krisenmanagement |
a. |
Betriebskontinuitätsmanagement und Notfallwiederherstellungspläne |
b. |
Backup-, Redundanz- und Wiederherstellungsmanagement |
c. |
Krisenmanagement |
13. |
Umgebungsbezogene und physische Sicherheit |
a. |
Sicherheitsperimeter und physische Zutrittskontrollen |
b. |
Schutz vor umgebungsbezogenen Gefährdungen |
c. |
Versorgungseinrichtungen |