IT-Grundschutz. Risikoanalyse nach ITGS-200-3

# 2.80.2

200-3. Risikomatrix

Stand: 20191229     20190614     20190604

In opus i bildet die Risikomatrix die Beurteilungsgrundlage für die Risikoanalyse:

  • Die Risikomatrix Risikomatrix wird als eigenständiges Objekt in opus i geführt und im IT-Verbund angelegt. Diese Risikomatrix kann  kopiert und an anderer Stelle - z.B. in einem weiteren IT-Verbund - wieder verwendet werden; Änderungen daran wirken nicht auf die ursprüngliche Risikomatrix zurück.

    Warnung Referenzierungen zu einer Risikomatrix sind NICHT zulässig
     
  • Im Regelfall sollte eine Risikomatrix im Verwaltungsteil des IT-Verbundes angelegt werden
     
  • Im Regelfall sollte weiterhin eine Risikomatrix im ICS-Teilverbund innerhalb des IT-Verbundes angelegt werden
     
  • Werden mehrere Risikomatrizen benötigt, weil innerhalb des IT-Verbundes verschiedene Risikoappetite auftreten, können auch mehrere Risikomatrizen angelegt werden - allerdings muss der Anwender dann beim Bearbeiten eines Zielobjektes bestimmen, welche Risikomatrix zur Risikoanalyse durch opus i verwendet werden soll
     
  • wichtiger Hinweis Zugriffsrecht zu einer bestehenden Risikomatrix haben grundsätzlich nur opus i Anwender mit Adminrechten und der Objekteigentümer.

Der Regelfall:  eine Risikomatrix pro IT-Verbund

Die Risikomatrix wird als eigenständiges Objekt in opus i geführt und im IT-Verbund angelegt.
Diese Risikomatrix befindet sich im Verwaltungsteil des IT-Verbundes und dient allen Zielobjekten des Verwaltungsteils als Basis zur Risikoanalyse.
Existieren ICS-Zielobjekte im Verbund, ist für den ICS-Teilverbund ebenfalls eine Risikomatrix zu führen.
Unterscheiden sich beide Matrizen in Bezug auf Eintrittswahrscheinlichkeit und Schadenshöhe nicht, kann die Risikomatrix des Verwaltungsteils dort kopiert und im ICS-Teilverbund EINGEFÜGT werden (nicht referenziet).

wichtiger Hinweis
 Hinweis: Versuchen Sie auf jeden Fall die Risikomatrix sowohl im Verwaltungsteil des IT-Verbundes, als auch im ICS- Bereich jeweils auf einer kleinen Stufe (im Bild auf der zweiten, bzw. dritten Stufe) unterzubringen wie im Bild gezeigt.

Risikomatrix im IT-Verbund

Sonderfall:  Im IT-Verbund existieren unterschiedliche Risiko-APPETITE und es werden mehrere Risikomatrizen benötigt

Prinzipiel gilt das für den Regelfall gesagte, allerdings könnte diese Konstellation dann so aussehen.

Existieren mehrere Risikomatrizen in den verschiedenen Verbundsektionen, muss der Anwender beim Bearbeiten eines Zielobjektes bestimmen, welche Risikomatrix zur Risikoanalyse durch opus i verwendet werden soll.

Mehrere Risikomatrizen im IT-Verbund

Die Risikomatrix Risikomatrix und deren weitere Bearbeitung ist in opus i für alle vier Managementgebiete  gleich und deshalb haben wir die weitere Bearbeitung unter der Handbuchrubrik ÜBERGREIFEND aufgeführt: hier.

Warnung Sonderfall:  Das Zielobjekt wird außerhalb des IT-Verbundes zur Bearbeitung geöffnet!

Grundsätzlich sollten die Zielobjekte (Gebäude, Server, Netze, ...) zur Bearbeitung direkt über den IT-Verbund geöffnet werden.

Wenn dies aus organisatorischen Gründen nicht möglich ist und das Zielobjekt außerhalb des IT-Verbundes geöffnet wird, reagiert opus i wie folgt:

1. Wird innerhalb des gerade angewählten Mandanten GENAU EINE Risikomatrix gefunden, wird diese automatisch dem in Bearbeitung befindlichen Zielobjekt beigestellt. Der User (der Bearbeiter des Zielobjektes) SOLLTE die Grafik der Risikomatrix mit der Maus überstreichen (mouse-over) - im Tooltip wird die Bezeichnung der zugesteuerten Risikomatrix angezeigt.
Überprüfen ob richtige Risikomatrix automatisch zugeordnet wurde


Warnung
2. Befinden sich MEHRERE Risikomatrizen innerhalb des gerade angewählten Mandanten, MUSS die passende Risikomatrix ausgewählt werden - danach stellt opus i diese dem zur Bearbeitung geöffneten Zielobjekt bei.
Die Bezeichnungen der Risikomatrizen sollte deshalb eindeutig sein und dem User DAS SICHERE ZUORDNEN der passenden Risikomatrix ermöglichen.
Objekt ausserhalb IT-Verbund geoeffnet

200-3. Risikomatrix. Die weitere Bearbeitung.

Klicken für "home"
kronsoft3-mit-WZ

Bitte richten Sie Ihre Supportanfrage online an uns oder direkt aus opus i heraus über die implementierte Support-Mail-Funktion.
Sie erreichen uns zu normalen Bürozeiten unter der Telefonnummer +49  6858  6370
                                    
     kronsoft e.K.    Schillerstraße 10     66564 Ottweiler     Deutschland
                                                                    Datenschutzerklärung

ISO 27001 Control
ISO 27001 Eigene Control
ISO 27001 Eigene Control
Risikomatrix
Risikobewertung
Hilfe
Benutzer Ordner
Allgemeiner Ordner
ISO 27001 Ordner
ISO 14001 Ordner
ISO 9001 Ordner
Container
ISO 27001 Control
ISO 27001 Eigene Control
Verarbeitung des Verantwortlichen
Software
implementiert
teilweise implementiert
nicht implementiert
Prozessstruktur Startelement
Kernprozess
Managementprozess
Unterstuetzungsprozess
Verarbeitung des Dienstleisters
Organisationseinheit
IT-Verbund
Prozess
Fachaufgabe
Warnung
wichtiger Hinweis
ISO 27001 Ordner
ISO 27001 Control
ISO 27001 Eigene Control
ISO 27001 Eigene Control
Eigenschaft
rBenutzer
rMitarbeiter
rPerson
rMandant
rLKWZwei1616
rPKWZwei1616

Neu
20210506

VDA-ISA (TISAX) Ordner
VDA-ISA (TISAX) Control
VDA-ISA (TISAX) Eigene Control
BCM-Ordner
ICS-Startelement
Turtle-Objekt

www.kronsoft.de     Impressum     Datenschutzerklärung
Die Version der WEB-Seite ist  64   (2024-08-18)