Hi Liebe Leute,
ich habe mal eine Frage zu folgender Aussage:
Eine Datenklassifikation, eine Risikoeinschätzung sowie eine darauf basierende Risikoanalyse ist unabdingbar, um die möglichen . .Risiken. zu identifizieren, Gefährdungen zu klassifizieren und die Maßnahmen einzuschätzen.
Das was fett ist und unterstrichen hätte Ich eingesetzt? Was sagt Ihr dazu 
LG
Ich würde hier auf IT-Grundschutz verweisen. Der behandelt genau das.
Mit freundlichen Grüßen
cooky1976
Mußt Du Dich für ein Antwort entscheiden? Wenn ja= „Risiken“ Wenn nein= dann vermutlich „Risiken“ u. „Maßnahmen“ ob Gefärdungen dazuzählen weiß ich nicht.
Gr.
Peter
Hi,
hört sich etwas nach BSI GS an, richtig. Aber ich würde noch die Kosten sowie die Beziehung zur Geschäftsebene einfügen, da die Maßnahmen im Zweifel nicht beschlossen werden könnten:
„… um die Risiken für die Geschäftsprozesse abzuschätzen und (wirtschaftlich) adäquate organisatorische und technische Maßnahmen zu konkreten Gefährdungen einzuführen, ist sowohl eine Datenklassifizierung als auch eine entsprechende Risiko-Analyse für die betreffenen Geschäftsprozesse unabdingbar …“
Die technische Ebene kommt hinterher. Ich habe die Erfahrung gemacht, dass die Begründung „… unser Server muss sicherer werden, das kostet 10.000 EUR“ weniger überzeugend bei den Budgetgebern wirkt, als z.B. „… der derzeit ungesicherte Server könnte zu einem Geschäftsrisiko von x EUR (möglichst höher als die Maßnahme!) führen. Um dies zu minimieren, benötigen wir ein Budget von EUR 10.000 …“
Es kommt aber ganz darauf an, um welche Organisation und -Größe es sich handelt. Aber diesen Ansatz würde ich weiter verfolgen bei der o.g. Grundaussage.
Gruß
FG