Sobald die Risikobewertung abgeschlossen ist, folgt im nächsten Schritt die Entscheidung darüber, welche Maßnahmen zur Behandlung der identifizierten Risiken ergriffen werden sollen. In diesem Schritt entscheidet das Cybersecurity-Team – im Einklang mit ISO/SAE 21434 und der unternehmensinternen Richtlinie –, ob Risiken vermieden, reduziert, übertragen oder akzeptiert werden können. Jedes einzelne Risiko, das einen bestimmten Mindestwert überschreitet, muss analysiert werden. Wenn Cybersecurity-Maßnahmen zur Risikominderung angewendet werden, werden neue Risikowerte berechnet. In diesem Schritt der TARA (Threat Analysis and Risk Assessment) werden Cybersecurity-Ziele und Cybersecurity-Aussagen definiert – sei es bei Akzeptanz oder Übertragung von Risiken oder beim Einsatz von Maßnahmen zur Risikominderung. Wir führen unsere Fallstudien weiter und geben Beispiele für verschiedene Entscheidungen zur Risikobehandlung, einschließlich der Zuordnung von Cybersecurity-Maßnahmen. Auch wenn dies der letzte formale Schritt der TARA ist, erläutern wir, dass die TARA in der Praxis ein sich weiterentwickelndes Dokument ist und der Prozess beliebig oft iteriert werden kann.

错误:搜索内容不能为空,请输入英文关键词
错误:关键词超出字数限制,请精简
高级检索

Entscheidung über die Risikobehandlung

  • Rodrigo do Carmo,
  • Alexander Schlensog

摘要

Sobald die Risikobewertung abgeschlossen ist, folgt im nächsten Schritt die Entscheidung darüber, welche Maßnahmen zur Behandlung der identifizierten Risiken ergriffen werden sollen. In diesem Schritt entscheidet das Cybersecurity-Team – im Einklang mit ISO/SAE 21434 und der unternehmensinternen Richtlinie –, ob Risiken vermieden, reduziert, übertragen oder akzeptiert werden können. Jedes einzelne Risiko, das einen bestimmten Mindestwert überschreitet, muss analysiert werden. Wenn Cybersecurity-Maßnahmen zur Risikominderung angewendet werden, werden neue Risikowerte berechnet. In diesem Schritt der TARA (Threat Analysis and Risk Assessment) werden Cybersecurity-Ziele und Cybersecurity-Aussagen definiert – sei es bei Akzeptanz oder Übertragung von Risiken oder beim Einsatz von Maßnahmen zur Risikominderung. Wir führen unsere Fallstudien weiter und geben Beispiele für verschiedene Entscheidungen zur Risikobehandlung, einschließlich der Zuordnung von Cybersecurity-Maßnahmen. Auch wenn dies der letzte formale Schritt der TARA ist, erläutern wir, dass die TARA in der Praxis ein sich weiterentwickelndes Dokument ist und der Prozess beliebig oft iteriert werden kann.