Wondershare EdrawMind
Mindmap-Galerie CISSP-1-Sicherheits- und Risikomanagement
CISSP-1-Sicherheits- und Risikomanagement
CISSP-Information System Security Professional Certification Mind Map, die Hauptinhalte umfassen Informationssicherheit und Risikomanagement-Management-Grundlage, Sicherheits-Governance und Sicherheitssystem-Framework, Informationssicherheitsstrategie, organisatorisches und personelles Sicherheitsrisikomanagement, Recht, Ethik, Compliance, BCP- und DRP-Anforderungen.
Bearbeitet um 2021-11-10 12:10:04
- Hundert Jahre Einsamkeit Charakter-Beziehungsdiagramm
Einhundert Jahre Einsamkeit ist das Meisterwerk von Gabriel Garcia Marquez. Die Lektüre dieses Buches beginnt mit der Klärung der Beziehungen zwischen den Figuren. Im Mittelpunkt steht die Familie Buendía, deren Wohlstand und Niedergang, interne Beziehungen und politische Kämpfe, Selbstvermischung und Wiedergeburt im Laufe von hundert Jahren erzählt werden.
- Hundert Jahre Einsamkeit Charakter-Beziehungsdiagramm
Einhundert Jahre Einsamkeit ist das Meisterwerk von Gabriel Garcia Marquez. Die Lektüre dieses Buches beginnt mit der Klärung der Beziehungen zwischen den Figuren. Im Mittelpunkt steht die Familie Buendía, deren Wohlstand und Niedergang, interne Beziehungen und politische Kämpfe, Selbstvermischung und Wiedergeburt im Laufe von hundert Jahren erzählt werden.
- Projektmanagement-Prozess-Vorlage
Projektmanagement ist der Prozess der Anwendung von Fachwissen, Fähigkeiten, Werkzeugen und Methoden auf die Projektaktivitäten, so dass das Projekt die festgelegten Anforderungen und Erwartungen im Rahmen der begrenzten Ressourcen erreichen oder übertreffen kann. Dieses Diagramm bietet einen umfassenden Überblick über die 8 Komponenten des Projektmanagementprozesses und kann als generische Vorlage verwendet werden.
CISSP-1-Sicherheits- und Risikomanagement
- Hundert Jahre Einsamkeit Charakter-Beziehungsdiagramm
Einhundert Jahre Einsamkeit ist das Meisterwerk von Gabriel Garcia Marquez. Die Lektüre dieses Buches beginnt mit der Klärung der Beziehungen zwischen den Figuren. Im Mittelpunkt steht die Familie Buendía, deren Wohlstand und Niedergang, interne Beziehungen und politische Kämpfe, Selbstvermischung und Wiedergeburt im Laufe von hundert Jahren erzählt werden.
- Hundert Jahre Einsamkeit Charakter-Beziehungsdiagramm
Einhundert Jahre Einsamkeit ist das Meisterwerk von Gabriel Garcia Marquez. Die Lektüre dieses Buches beginnt mit der Klärung der Beziehungen zwischen den Figuren. Im Mittelpunkt steht die Familie Buendía, deren Wohlstand und Niedergang, interne Beziehungen und politische Kämpfe, Selbstvermischung und Wiedergeburt im Laufe von hundert Jahren erzählt werden.
- Projektmanagement-Prozess-Vorlage
Projektmanagement ist der Prozess der Anwendung von Fachwissen, Fähigkeiten, Werkzeugen und Methoden auf die Projektaktivitäten, so dass das Projekt die festgelegten Anforderungen und Erwartungen im Rahmen der begrenzten Ressourcen erreichen oder übertreffen kann. Dieses Diagramm bietet einen umfassenden Überblick über die 8 Komponenten des Projektmanagementprozesses und kann als generische Vorlage verwendet werden.
- Für Sie empfohlen
- Gliederung
![Aufbau und Umsetzung eines Sicherheitsmanagementsystems aus Sicherheitsmanagementelementen [Praxisversion]](https://edrawcloudpublicus.s3.amazonaws.com/work/5594735/2024-5-25/1716596322/thumb.png?x-oss-process=image/resize,w_300,m_lfit)
Aufbau und Umsetzung eines Sicherheitsmanagementsystems aus Sicherheitsmanagementelementen [Praxisversion]
![Aufbau und Umsetzung eines Sicherheitsmanagementsystems aus Sicherheitsmanagementelementen [Praxisversion]](https://edrawcloudpublicus.s3.amazonaws.com/work/5594735/2024-5-25/1716601643/thumb.png?x-oss-process=image/resize,w_300,m_lfit)
Aufbau und Umsetzung eines Sicherheitsmanagementsystems aus Sicherheitsmanagementelementen [Praxisversion]
![Berstscheiben für Sicherheitseinrichtungen [Zusammenfassung der Vorschriften]](https://edrawcloudpublicus.s3.amazonaws.com/work/5594735/2024-5-25/1716602368/thumb.png?x-oss-process=image/resize,w_300,m_lfit)
Informationssicherheits-Governance und Risikomanagement
Informationssicherheit und Grundlagen des Risikomanagements
Information
Definition
Handhabung des Lebenszyklus
Informationssicherheit Das Grundprinzip
Vertraulichkeit (Vertraulichkeit)
Stellen Sie sicher, dass Informationen gespeichert, verwendet und übermittelt werden Werden nicht an unbefugte Benutzer oder Organisationen weitergegeben
Integrität (Integrität)
Verhindern Sie unbefugte Manipulationen.
Verhindern Sie, dass autorisierte Benutzer Informationen unangemessen ändern
Sorgen Sie für die interne und externe Konsistenz der Informationen
intern
extern
Verfügbarkeit (Verfügbarkeit)
Stellen Sie die normale Nutzung von Informationen und Ressourcen durch autorisierte Benutzer oder Stellen sicher Es werden keine Ausnahmen verweigert, die einen zuverlässigen und zeitnahen Zugriff auf Informationen ermöglichen
Gegenteiliges Triplett PAPA
Offenlegung
Änderung
Zerstörung
Informationssicherheit CIA-bezogene Technologien
Vertraulichkeit, C
Datenverschlüsselung (gesamte Festplatte, Datenbankverschlüsselung)
Verschlüsselung der Übertragungsdaten (IPSec, SSL, PPTP, SSH)
Zugangskontrolle (physische und technische Kontrollen)
Integrität, ich
Hash (Daten vollständig)
Codesignatur
Konfigurationsmanagement (System vollständig)
Änderungskontrolle (Prozess abgeschlossen)
Zugangskontrolle (physische und technische Kontrollen)
Digitale Signatur der Software
CRC-Prüffunktion für die Übertragung (kann für mehrere Ebenen der Netzwerkübertragung verwendet werden)
Verfügbarkeit,A
Redundantes Festplattenarray (RAID)
Cluster
Lastverteilung
Redundante Daten- und Stromleitungen
Software- und Datensicherung
Disk-Image
Lage und externe Einrichtungen
Rollback-Funktion
Failover-Konfiguration
sicher kontrollieren
Wege und Mittel
Verwaltungskontrolle
Entwickeln Sie Strategien, Standards, Maßnahmen und Richtlinien
Risikomanagement
Personensicherheit
Sicherheitsbewusstseinstraining
technische Kontrolle (Logische Steuerung)
Implementieren und pflegen Sie logische Zugriffskontrollmechanismen
Passwort- und Ressourcenverwaltung
Identifikations- und Authentifizierungsmethoden
Sicherheitsausrüstung
körperliche Kontrolle
Maßnahmen zur Kontrolle des individuellen Zugangs zu Einrichtungen und verschiedenen Abteilungen (Zutrittskontrolle, Sicherheit, Schlösser)
Schutzumrandung (Zäune, Mauern, Beleuchtung)
Physische Erkennung von Einbrüchen
Umweltkontrolle
Wirkung
Steuerfunktion
Prävention (Abschreckung), Erkennung, Korrektur/Wiederherstellung (Backup, BCP, DRP) Vergütung (Kontrolle)
Grundlagen des Informationssicherheitsrisikomanagements
Governance, Risikomanagement und Compliance (GRC)
Sicherheit
Rahmenwerk für das Risikomanagement
Security Governance und Sicherheitssystem-Framework
Referenzrahmen für Sicherheitskontrolle
IT-Steuerung, COBIT
„Interne Kontrolle – Gesamtrahmen“, COSO Rahmenwerk für das unternehmensinterne Kontrollmanagement
definiert, um die Finanzberichterstattung zu erfüllen und Fünf Arten interner Kontrollelemente für Offenlegungsziele
Kontrollumfeld
Risikobewertung
Überwachungsaktivitäten
Information und Kommunikation
Monitor
Ein Rahmen für viele Organisationen zur Einhaltung der SOX 404
IT Service Management, ITIL (Best Practice Framework)
ITIL ist ein anpassbares IT-Service-Management-Framework
Standard für Informationstechnologie-Servicemanagement (ISO/IEC 20000)
5 große Etappen
Service-Strategie
Service-Design
Dienstübergang
Service-Betrieb
Kontinuierliche Serviceverbesserung
Zachmann
TOGAF Enterprise Framework
SABSA-Sicherheitsarchitektur-Framework
Referenz zu Sicherheitskontrollen, NIST SP 800-53r4
2014 Critical Infrastructure Security Control Framework: NIST CyberSecurity Framework
CMMI-Softwareentwicklungsmanagement (Kapitel 8)
CMM
Anfänglich, wiederholbar, definiert, verwaltet, optimierend
CMMI
Anfänglich, verwaltet, definiert, quantitativ verwaltet, optimierend
Informationssicherheitsmanagement
Zwei Faktoren für Erfolg oder Misserfolg der Informationssicherheit: Technologie und Management
ISO27001 (Informationssicherheit Managementsystemstandards)
Abgeleitet von BS7799, BS7799-1 entspricht ISO27002, BS7799-2 entspricht ISO27001
Ein umfassender Satz von Kontrollen, bestehend aus Best Practices für die Informationssicherheit
Version 2013, 14 Domänen, 35 Kategorien, 114 Steuerelemente
Informationssicherheitsmanagementmodell
PDCA-Modell
Planen
Basierend auf den Ergebnissen der Risikobewertung, gesetzlichen und behördlichen Anforderungen sowie dem organisatorischen Geschäft, Bestimmen Sie Kontrollziele und Kontrollmaßnahmen basierend auf den betrieblichen Anforderungen
Implementieren, tun
Implementieren Sie ausgewählte Sicherheitskontrollen.
Überprüfen
In Übereinstimmung mit Richtlinien, Verfahren, Standards sowie Gesetzen und Vorschriften, Führen Sie Compliance-Prüfungen zur Umsetzung von Sicherheitsmaßnahmen durch
Maßnahmen, Gesetz
Ergreifen Sie auf der Grundlage der Inspektionsergebnisse Gegenmaßnahmen, um die Sicherheitsbedingungen zu verbessern
Informationssicherheitsleistung
ISO27004
Informationssicherheitspolitik, Organisations- und Personalsicherheit
Sicherheitsstrategie
Hierarchie von Sicherheitsdokumenten
Politik (Richtlinien ändern sich seltener, Verfahren ändern sich häufiger)
Allgemeinste Aussage zur Informationssicherheit
Eine Verpflichtung des Top-Managements, Verantwortung für die Informationssicherheit zu übernehmen
Beschreiben Sie, was und welche Ziele geschützt werden sollen
Standard
Richten Sie einen Durchsetzungsmechanismus für die Richtlinienumsetzung ein
Richtlinie
Ähnlich wie bei Standards handelt es sich bei Methoden zur Stärkung der Systemsicherheit um Empfehlungen.
Sicherheitsgrundlinie
Erfüllen Sie die in der Richtlinie geforderten Mindestsicherheitsanforderungen
Vorgehensweise (Ablauf/Schritte/Abläufe)
Detaillierte Schritte zum Ausführen einer bestimmten Aufgabe (spezifisch)
Das Verfahren ist eine detaillierte Beschreibung (WIE) der spezifischen Schritte zur Durchführung der Schutzaufgabe.
Sicherheitsorganisation
Senior Management (Geschäftsleitung/CEO, CFO, COO)
Die volle Verantwortung für die Informationssicherheit und die letzte Person, die für die Informationssicherheit verantwortlich ist
Planen Sie die Informationssicherheit, legen Sie Ziele und begrenzte Abläufe fest und delegieren Sie Verantwortlichkeiten für die Informationssicherheit
Klären Sie die Ziele und Richtlinien zur Informationssicherheit, um die Richtung der Informationssicherheitsaktivitäten festzulegen
Stellen Sie Ressourcen für Informationssicherheitsaktivitäten bereit
Treffen Sie Entscheidungen in wichtigen Angelegenheiten
Koordinieren Sie die Beziehungen zwischen verschiedenen Verbindungen in verschiedenen Einheiten der Organisation
Experte für Informationssicherheit
Verantwortlich für die Implementierung und Aufrechterhaltung der Sicherheit, wie von der Geschäftsleitung delegiert (normalerweise an den CIO)
Entwerfen, implementieren, verwalten und überprüfen Sie die Sicherheitsrichtlinien, Standards, Richtlinien und Verfahren der Organisation
Koordinieren Sie alle sicherheitsrelevanten Interaktionen zwischen Einheiten innerhalb der Organisation
Chief Information Officer, CIO
Überwachen und verantworten Sie den täglichen technischen Betrieb des Unternehmens
Chief Security Officer, CSO
Stellen Sie sicher, dass geschäftliche Informationsressourcen ordnungsgemäß geschützt sind
Übernehmen Sie die Rolle des internen Koordinators und Moderators für Informationssicherheit
Sie müssen die Geschäftsziele der Organisation verstehen und den Risikomanagementprozess steuern. Sorgen Sie für das richtige Gleichgewicht zwischen Geschäftsbetrieb und akzeptablen Risiken
Spezifische Verantwortlichkeiten:
Budget für Informationssicherheitsaktivitäten
Entwicklung von Entwicklungsstrategien, Verfahren, Baselines, Standards und Richtlinien
Entwickeln Sie ein Sicherheitsbewusstseinsprogramm
Nehmen Sie an Managementbesprechungen teil
Unterstützen Sie bei internen und externen Audits
Lenkungsausschuss für Sicherheit
Zu den Mitgliedern gehören Personen aus allen Abteilungen der Organisation, darunter CEO-Führungskräfte, CFO, CIO, Abteilungsleiter und leitende interne Prüfer
Treffen Sie sich mindestens einmal im Quartal mit einer klaren Agenda
Verantwortlichkeiten:
Definieren Sie das akzeptable Risikoniveau einer Organisation
Bestimmen Sie Sicherheitsziele und -strategien
Die Berücksichtigung geschäftlicher Anforderungen bestimmt die Priorität der Sicherheitsaktivitäten
Überprüfen Sie Risikobewertungs- und Auditberichte
Überwachen Sie die geschäftlichen Auswirkungen von Sicherheitsrisiken
Überprüfung nuklearer Unfälle mit schwerwiegenden Sicherheitsverstößen
Genehmigen Sie alle wesentlichen Änderungen an Sicherheitsrichtlinien und -plänen
Der Prüfungsausschuss
Wird vom Vorstand ernannt, um ihn bei der Überprüfung und Bewertung der internen Abläufe des Unternehmens, der internen Revisionssysteme sowie der Transparenz und Genauigkeit der Finanzberichte zu unterstützen.
Verantwortlich:
Die Integrität der Finanzberichte und Finanzinformationen des Unternehmens
Das interne Kontrollsystem des Unternehmens
Einsatz und Leistung unabhängiger Wirtschaftsprüfer
Leistung der internen Revisionsfunktion
Halten Sie die gesetzlichen Anforderungen und Unternehmensrichtlinien in Bezug auf Ethik ein
Risikomanagementausschuss
Verstehen Sie die Risiken der Organisation als Ganzes und unterstützen Sie die Geschäftsleitung dabei, die Risiken auf ein akzeptables Maß zu reduzieren.
Untersuchen Sie allgemeine Geschäftsrisiken, nicht nur IT-Sicherheitsrisiken
Sicherheitsplan
Der Aufbau der Informationssicherheit der Organisation sollte planmäßig erfolgen und der Sicherheitsmanagementplan sollte von oben nach unten erfolgen.
Verantwortlichkeiten:
Die Geschäftsleitung definiert die Sicherheitsrichtlinien der Organisation
Die mittlere Schicht vervollständigt Sicherheitsrichtlinien mit Standards, Baselines, Richtlinien und Verfahren und überwacht deren Umsetzung
Geschäftsführer und Sicherheitsspezialisten sind für die Umsetzung der dort in der Dokumentation der Sicherheitseinheit entwickelten Konfigurationen verantwortlich
Endbenutzer sind für die Einhaltung aller Sicherheitsrichtlinien der Organisation verantwortlich
Typ
Strategischer Plan, strategischer Plan
Langfristiger Plan, z.B. 5 Jahre
, relativ stabil, definiert die Ziele und Mission der Organisation
taktischer Plan, taktischer Plan
Mittelfristiger Plan, z.B. 1 Jahr
Eine detaillierte Beschreibung der Aufgaben und Fortschritte bei der Erreichung der im strategischen Plan festgelegten Ziele, Wie Beschäftigungspläne, Budgetpläne usw.
Operationsplan, Einsatzplan
Kurzfristige, sehr detaillierte Pläne, häufig aktualisiert
Monatliche oder vierteljährliche Aktualisierungen wie Schulungspläne, Systembereitstellungspläne usw.
Personensicherheit (Kapitel 7)
Personalverantwortung
Dateneigentümer
Verantwortlich für die Leitung einer bestimmten Geschäftsabteilung und verantwortlich für den Schutz und die Verwendung spezifischer Informationen
Sie haben eine Sorgfaltspflicht
Verantwortlichkeiten
Bestimmen Sie die Klassifizierung der Daten
Definieren Sie Sicherheitsanforderungen und Backup-Anforderungen für jede Klassifizierung
Definieren Sie Benutzerzugriffsrichtlinien
Geschäftsrolle statt technischer Rolle
Datenmanager (Verwahrer)
Die Rolle der IT- oder Sicherheitsabteilung
Verantwortlichkeiten
Führen Sie regelmäßige Datensicherungen durch
Überprüfen Sie regelmäßig die Datenintegrität
Backup zur Wiederherstellung von Daten
Implementieren Sie Unternehmensrichtlinien, Standards und Richtlinien zur Informationssicherheit und zum Datenschutz
Systembesitzer
Verantwortlich für ein oder mehrere Systeme, von denen jedes Daten verschiedener Dateneigentümer speichern und verarbeiten kann
Verantwortlich für die Integration von Sicherheitsfaktoren in Anwendungen und Systeme
Stellen Sie sicher, dass Systemschwachstellen bewertet werden
Ergreifen Sie angemessene Sicherheitsmaßnahmen, um die Systemsicherheit zu gewährleisten
Sicherheitsadministrator
Verantwortlich für die Implementierung, Überwachung und Durchsetzung von Sicherheitsvorschriften und -richtlinien
Bericht an den Sicherheitsausschuss und den Informationssicherheitsbeauftragten
Auditor für Informationssysteme
Überprüfen Sie das System, um festzustellen, ob die Sicherheitsanforderungen erfüllt sind und ob Sicherheitskontrollen wirksam sind
Bieten Sie eine unabhängige Garantie für die Verwaltung von Sicherheitszielen
Sicherheitsanalyst
Helfen Sie bei der Entwicklung von Richtlinien, Standards und Leitlinien und setzen Sie Maßstäbe
Hauptsächlich auf der Designebene, nicht auf der Implementierungsebene
Benutzer
Seien Sie sich der Anwendungssicherheit bewusst, halten Sie Sicherheitsrichtlinien ein, verwenden Sie das System ordnungsgemäß und melden Sie Sicherheitsvorfälle
Personalrekrutierungskontrolle
Überprüfung
Reduzieren Sie Risiken, reduzieren Sie die Rekrutierungskosten und reduzieren Sie die Mitarbeiterfluktuation
Beurteilung der Fähigkeiten
Verschwiegenheitserklärung
Schützen Sie sensible Unternehmensinformationen
Personalkontrolle am Arbeitsplatz
Aufgabentrennung
Niemand sollte von Anfang bis Ende die volle Kontrolle über eine sensible, wertvolle oder kritische Aufgabe haben
Zweck: Weniger Möglichkeiten für Betrug oder Fehler
Beispiel:
Bei Finanztransaktionen ist eine Person für die Eingabe verantwortlich, die zweite für die Prüfung und die dritte für die Bestätigung der endgültigen Transaktion.
Entwicklung/Produktionswartung, Sicherheitsmanagement/Betrieb/Audit, Verschlüsselungsschlüsselverwaltung/Schlüsseländerungen
Wissenssegmentierung
geringstes Privileg
Mindestberechtigungen zum Zuweisen von Verantwortlichkeiten erforderlich
Jobwechsel
Erlauben Sie einer Person nicht, zu lange eine feste Position zu halten, um zu vermeiden, dass einzelne Personen zu viel Kontrolle erlangen
Richten Sie eine Personalunterstützung ein, um übergreifende Schulungen zu erleichtern und Betrug aufzudecken
Zwangsurlaub
Wenn sensibles Abteilungspersonal gezwungen wird, Urlaub zu nehmen, können Betrug, Datenänderungen, Ressourcenmissbrauch usw. effektiv erkannt werden.
Personalabgangskontrolle
Zugriffsrechte für ausgeschiedenes Personal deaktivieren
Recycling identifizierbarer Gegenstände
Personalkontrolle durch Dritte
Wenn der Dritte nicht anwesend ist, aber über Administratorrechte verfügt
Vertraulichkeitsvereinbarungen sollten mit Drittorganisationen und Einzelpersonen unterzeichnet werden
Überwachen Sie alle Arbeitsaktivitäten Dritter
Stellen Sie sicher, dass die Identität des Personals Dritter beim Zugriff überprüft wird
Wenn ein Dritter anwesend ist und über Administratorrechte verfügt
Auf der Grundlage der oben genannten Maßnahmen werden zusätzliche Personalüberprüfungen durchgeführt
Das Personal Dritter verlässt den Standort und muss sich die entsprechenden Berechtigungen zurückholen
Fügen Sie den Vertragsbedingungen mit Dritten Vertraulichkeitsanforderungen und zugehörige Geschäftsbedingungen hinzu.
Sicherheitsbewusstsein, Schulung und Ausbildung
Ausbildung
Um Sicherheitsfachkräften die für ihre Arbeit erforderlichen Fachkompetenzen zu vermitteln.
Weg:
Theoretische Anleitung, Seminare, Lektüre und Studium, Forschung
Sicherheitseinblicke
"Warum"
Ausbildung
Vermittlung von sicherheitsbezogenen Arbeitsfähigkeiten, hauptsächlich für das Management- und Wartungspersonal von Informationssystemen
Weg:
Praktische Anleitung, Vorträge, Fallstudien, Experimente
wissen aneignen
"Wie macht man"
Bewusstsein
Das allgemeine kollektive Bewusstsein der Mitarbeiter einer Organisation für die Bedeutung von Sicherheit und Kontrollen
Weg:
Videos, Medien, Poster usw.
Nachricht senden
"Was ist es"
Risikomanagement
Konzept:
Risiken identifizieren und bewerten, Risiken auf ein akzeptables Maß reduzieren, Implementieren Sie geeignete Mechanismen, um dieses Prozessniveau aufrechtzuerhalten
Eine 100 % sichere Umgebung gibt es nicht, Risikomanagement schon Nutzen/Kosten, Sicherheit/Benutzerfreundlichkeit
Risiko = Bedrohung * Schwachstelle * Vermögenswert
Risiko = Möglichkeit * Auswirkung
Verwandte Elemente
Vermögenswerte: Informationsressourcen, die für die Organisation einen Wert haben
Kann Sachschäden oder Schäden an der Organisation verursachen Mögliche Ursachen eines Sicherheitsvorfalls
drohen
Bedrohungsmodellierung (SCHREITEN)
Die Bedrohungsmodellierung verfügt über einen strukturierten Ansatz Bedrohungen, die Auswirkungen auf das System haben können, werden systematisch identifiziert und bewertet.
Um herauszufinden, wer uns am ehesten angreifen möchte, können Sie mit einem Brainstorming beginnen Denken Sie heftig darüber nach, wie sie ihre Ziele erreichen können, und dann Schlagen Sie Gegenmaßnahmen vor, um solche Angriffe zu verhindern
Verletzlichkeit (Verletzlichkeit)
Eine Schwachstelle oder Schwachstelle in einem Asset oder einer Asset-Gruppe, die von einer Bedrohung ausgenutzt werden kann Schwachstellen, die, wenn sie einmal ausgenutzt werden, zu Vermögensschäden führen können
Risiko
Das Potenzial einer bestimmten Bedrohung, einem Vermögenswert oder einer Gruppe von Vermögenswerten Schaden zuzufügen, indem die Schwächen eines Vermögenswerts ausgenutzt werden.
Wahrscheinlichkeit
Beeinflussen
Folgen, direkte oder indirekte Schäden oder Schäden, die einer Organisation durch ein unerwartetes Ereignis entstehen
Sicherheitsmaßnahmen
Kontrollen oder Gegenmaßnahmen, die unerwartete Ereignisse begrenzen, indem sie Bedrohungen verhindern und Schwachstellen minimieren Mechanismen, Methoden und Maßnahmen zur Risikominderung durch Auswirkungen und andere Mittel
Restrisiko
Risiken, die nach der Implementierung von Sicherheitsmaßnahmen bestehen bleiben
Risikobewertung (Bewertung)
Hauptmission:
Identifizieren Sie Elemente, die Risiken bergen
Bewerten Sie die Wahrscheinlichkeit und Auswirkung eines Risikos und bewerten Sie letztendlich das Ausmaß oder die Größe des Risikos
Bestimmen Sie die Fähigkeit der Organisation, Risiken standzuhalten
Legen Sie Strategien, Ziele und Prioritäten für die Risikominderung und -kontrolle fest
Empfehlen Sie Gegenmaßnahmen zur Risikominderung zur Umsetzung
Methode
Risikobewertung (ISO27005)
Identifizieren Sie Risiken
Risiken analysieren
Risiko bewerten
NIST SP800-30 und SP800-66
Qualitativer RA-Ansatz mit Fokus auf IT-Risiken
1. Systemklassifizierung; 2. Schwachstellenerkennung; 3. Bedrohungserkennung; 4. Identifizierung von Gegenmaßnahmen; 5. Möglichkeitsbewertung; 6. Folgenabschätzung; 7. Risikobewertung; 8. Empfehlung neuer Gegenmaßnahmen;
OKTAVE
Eine autonome Spezifikation zur Bewertung von Informationssicherheitsrisiken, die auf den Risiken von Informationsressourcen basiert. Der Schwerpunkt liegt auf der Vermögensorientierung und besteht aus drei Phasen und acht Prozessen.
Der OCTAVE-Ansatz setzt unternehmensweit Risikomanagementprogramme ein und lässt sich in Sicherheitspläne integrieren
CRAMM
Grundlegende Prozesse: Identifizierung und Bewertung von Vermögenswerten; Auswahl und Empfehlungen von Gegenmaßnahmen;
FRAP
Vorab geprüft, um sich nur auf die Systeme zu konzentrieren, die wirklich einer Bewertung bedürfen, um Kosten und Zeit zu reduzieren
Begrenzte Budgetsituation
STA
Erstellen Sie einen Baum aller Bedrohungen, denen ein System ausgesetzt sein kann. Die Zweige können Dinge wie Cyber-Bedrohungen darstellen. Kategorien wie physische Bedrohungen und Komponentenausfälle erfordern bei der Durchführung von RA das Bereinigen ungenutzter Zweige.
FEMA
Abgeleitet aus der Hardwareanalyse. Untersuchen Sie den potenziellen Ausfall jeder Komponente oder jedes Moduls und untersuchen Sie die Auswirkungen des Ausfalls
AS/NZS 4360
Eine australische Methode zur Risikobewertung, die nicht speziell aus Sicherheitsgründen verwendet wird
Bewertungsvorgang
Identifizieren Sie Informationsressourcen
Identifizieren Sie den Eigentümer, Verwahrer und Benutzer jedes Vermögenswerts
Erstellen Sie eine Asset-Liste und identifizieren Sie Informationsressourcen basierend auf Geschäftsprozessen
Die Form, in der Informationsressourcen vorliegen
Elektronische Daten: Datenbanken und Datendateien, Benutzerhandbücher usw.
Schriftliche Verträge: Verträge, strategische Leitlinien, archivierte Dokumente, wichtige Geschäftsergebnisse
Software-Assets: Anwendungssoftware, Systemsoftware, Entwicklungstools, Softwareprogramme
Physische Vermögenswerte: magnetische Medien, Strom und Klimaanlage, Netzwerkinfrastruktur, Server usw.
Personal: Eine Person oder Rolle mit spezifischen Fähigkeiten und Verantwortlichkeiten
Dienstleistungen: Computer- und Kommunikationsdienstleistungen, Outsourcing-Dienstleistungen, sonstige technische Dienstleistungen
Image und Ruf der Organisation: Immaterielle Vermögenswerte
Bewerten Sie Informationsressourcen
Bewertungsfaktoren
direkter Schaden durch Beschädigung
Die Kosten für die Wiederherstellung von Vermögenswerten, einschließlich der Arbeits- und Sachkosten für Erkennung, Kontrolle und Reparatur
Verlust des öffentlichen Ansehens und des Rufs der Organisation, Verlust von Wettbewerbsvorteilen
Sonstige Schäden, wie z. B. erhöhte Versicherungskosten
Klassifizierung von Vermögenswerten nach Bedeutung (Auswirkung oder Folgen), Berücksichtigen Sie auch die möglichen Folgen einer beeinträchtigten Vertraulichkeit, Integrität und Verfügbarkeit.
Bedrohungen erkennen und bewerten
Ein Vermögenswert kann mehreren Bedrohungen ausgesetzt sein, und eine Bedrohung kann mehrere Vermögenswerte betreffen.
Identifizieren Sie Bedrohungsquellen
Bedrohung für das Personal
Systembedrohungen
Umweltbedrohungen
natürliche Bedrohungen
Bei der Beurteilung der Bedrohungswahrscheinlichkeit werden die Motivation und die Fähigkeiten der Bedrohungsquelle berücksichtigt
Schwachstellen erkennen und bewerten
Mögliche ausnutzbare Schwachstellen für jedes Asset
technische Schwäche
betriebliche Schwächen
Führungsschwäche
Identifikationsweg
Auditberichte, Praxisberichte, Sicherheitsinspektionsberichte, Systemtests und Bewertungsberichte
Automatisierte Tools zum Scannen von Schwachstellen
Risikobewertung (Auswertung)
Risikoauswirkungen
Risikomöglichkeit
Risikomanagementstrategie
Methoden zur Risikobehandlung
Risiko abschwächen/reduzieren/schwächen (Risiko mindern/reduzieren) (obere Kontrollmaßnahmen)
Bedrohungen reduzieren
Implementieren Sie Schadcode-Kontrollen
Schwächen reduzieren
Stärken Sie die Fähigkeiten zum sicheren Betrieb durch Sicherheitsbewusstseinsschulungen
Auswirkungen reduzieren
Planung der Notfallwiederherstellung und Geschäftskontinuität Planen und Backups erstellen
Risiko vermeiden (Vermeiden/Risiko)
Übertragungsrisiko (Transferrisiko) (Outsourcing/Kauf einer Versicherung)
Risiko akzeptieren (Risiko akzeptieren)
Die Risikokontrolle misst Auswahlstrategien
Kosten-Nutzen-Analyse
Grundprinzip: Die Kosten der Implementierung von Sicherheitsmaßnahmen Sollte nicht größer sein als der Wert des zu schützenden Vermögenswerts
Kosten der Gegenmaßnahme: Anschaffungskosten, Auswirkungen auf die Geschäftseffizienz , zusätzliche Personal- und Materialressourcen, Schulungskosten, Wartungskosten usw.
Wert der Kontrolle = ALE vor Kontrolle – ALE nach Kontrolle – Jährliche Kontrollkosten
Einschränkungen
Zeitbeschränkungen, technische Einschränkungen, Umweltbeschränkungen
rechtliche Zwänge, soziale Zwänge
Grundfunktionen und Wirksamkeit von Schutzmaßnahmen
Bewerten Sie das Restrisiko
Risiken, die nach der Implementierung von Sicherheitskontrollen bestehen bleiben oder bestehen bleiben
Restrisiko Rr = ursprüngliches Risiko R0 – Kontrollwirksamkeit R
Restrisiko <= akzeptables Risiko Rt
Quantitative Risikobewertung
Die quantitative Risikoanalyse versucht, alle Elemente des Risikoanalyseprozesses abzudecken erhalten konkrete und aussagekräftige Zahlen
Kosten für Schutzmaßnahmen, Vermögenswert, geschäftliche Auswirkungen, Bedrohungshäufigkeit Jedes Element, einschließlich der Wirksamkeit von Schutzmaßnahmen und der Wahrscheinlichkeit der Ausnutzung von Schwachstellen, quantifiziert und abschließend das Gesamtrisiko und das Restrisiko berechnet
Quantitative Analyseschritte:
Weisen Sie Vermögenswerten einen Wert zu
Schätzen Sie potenzielle Verluste für jede Bedrohung
Bewerten Sie Bedrohungen und Schwachstellen und bewerten Sie spezifische Bedrohungen Die Auswirkung auf einen bestimmten Vermögenswert, d. h. EF (0 % ~ 100 %)
Führen Sie eine Bedrohungsanalyse durch
Berechnen Sie die jährliche Eintrittsquote (ARO)
Häufigkeit des Auftretens: ARO (Annual Rate of Occurrence)
Wird für jeden Vermögenswert und jede Bedrohung berechnet Einzelverlusterwartung (SLE) von
SLE (Einzelverlusterwartung) = Vermögenswert (Vermögenswert) × EF (Expositionsfaktor)
Berechnen Sie potenzielle jährliche Verluste für jede Bedrohung
Jährliche Verlusterwartung (ALE), berechnet pro Bedrohung
ALE = SLE × ARO
Qualitative Risikobewertung
Betrachten Sie verschiedene Szenarien, in denen Risiken auftreten können, und bewerten Sie diese aus unterschiedlichen Perspektiven Einstufung der Schwere verschiedener Bedrohungen und der Wirksamkeit verschiedener Gegenmaßnahmen
qualitative Analysetechniken
Urteilsvermögen, Best Practices, Intuition und Erfahrung
Qualitative Analysetechniken zur Datenerhebung
Gruppenentscheidungsmethoden, Delphi
Überlebensfrage
prüfen
Interview
Vergleich qualitativer und quantitativer Methoden
Qualitative Methoden und Ergebnisse sind relativ subjektiv
Qualitative Methoden können keinen monetären Wert für die Kosten-Nutzen-Analyse ermitteln
Quantitative Methoden erfordern viele Berechnungen und sind schwierig umzusetzen
Informationsklassifizierung und hierarchisches Management
Zweck: Beschreiben Sie den für jeden Datensatz erforderlichen Grad an Vertraulichkeit, Integrität und Verfügbarkeitsschutz
Abhängig von der Sensibilität der Informationen ergreift das Unternehmen unterschiedliche Sicherheitskontrollmaßnahmen. Stellen Sie sicher, dass die Informationen angemessen geschützt sind, und priorisieren Sie den Sicherheitsschutz (und vermeiden Sie gleichzeitig einen übermäßigen Schutz).
Geschäfts Firma
vertraulich
Privatsphäre
empfindlich
öffentlich
militärisches Establishment
streng geheim (Streng geheim)
Geheimnis
vertraulich (Vertraulich)
Sensibel, aber nicht klassifiziert
nicht kategorisiert
Recht, Ethik, Compliance
Computerkriminalität
Merkmale der Computerkriminalität:
Es ist schwierig, Beweise zu untersuchen und zu sammeln, und die Beweise können leicht vernichtet werden.
Die einschlägigen Gesetze sind unvollständig
Überregionale Besonderheiten
Statistisch gesehen begehen Insider häufiger Straftaten
Geschädigte Institutionen unterlassen manchmal die Meldung, weil sie befürchten, den normalen Betrieb der Institution zu beeinträchtigen und das Vertrauen der Nutzer in die Institution zu schädigen.
Arten von Computerkriminalität
Computergestützte Kriminalität
Verwendung eines Computers als Werkzeug zur Unterstützung bei der Begehung einer Straftat; Computer sind kein notwendiger Faktor bei der Kriminalität, sondern dienen als Hilfsmittel zur Unterstützung von Kriminellen.
Computergezielte Kriminalität
Straftaten gegen Computer, Netzwerke und die auf diesen Systemen gespeicherten Informationen
Computerkriminalität
Der Computer ist nicht unbedingt der Angreifer oder das Opfer, Ich war zufällig in den Angriff verwickelt, als er passierte.
Computerbezogene Gesetze
Rechtsordnung
Gewohnheitsrecht
Zivilrecht
Strafrecht
Verwaltungsrecht
Zivilrechtssystem
Gewohnheitsrechtssystem
religiöses Rechtssystem
gemischtes Rechtssystem
Urheberrechtsgesetz
Geschäftsgeheimnis
Die Wettbewerbs- und Marktfähigkeit des Unternehmens ist von entscheidender Bedeutung
Es ist nicht bekannt, dass das Unternehmen entsprechende Ressourcen und Anstrengungen in die Entwicklung investiert hat
Erhalten Sie vom Unternehmen einen angemessenen Schutz, um eine Offenlegung oder unbefugte Nutzung zu verhindern
Beispiel:
Produktverteilung
Programmquellcode
Verschlüsselungsalgorithmus
Urheberrechte ©
Gesetzlich geschützte Rechte zur öffentlichen Veröffentlichung, Vervielfältigung, Anzeige und Änderung der meisten Werke
Es schützt nicht die Kreativität des Werkes, sondern den Ausdruck der Kreativität.
Beispiel:
Programmcode, Quellcode und ausführbare Dateien, sogar Benutzeroberflächen
Literatur
Malerei
Liedmelodie
Warenzeichen
Es schützt Wörter, Namen, Symbole, Formen, Töne und Farben, die das Image des Unternehmens repräsentieren
Marken werden in der Regel bei einer Markenregistrierungsagentur registriert
Eine Marke ist ein Zeichen für Qualität und Glaubwürdigkeit, das ein Unternehmen in seinen Marktaktivitäten etabliert.
Patent
Rechtliche Anerkennung des Patentinhabers durch einen Patentanmelder oder ein Unternehmen, wodurch die unbefugte Nutzung durch andere oder Unternehmen verboten wird
Das Patent ist 20 Jahre gültig
Beispiel:
Arzneimittelformulierungen
Verschlüsselungsalgorithmus
Softwareklassifizierung
gratis Software
Shareware
Quelloffene Software
kommerzielle Software
akademische Software
Privatsphäre
Verarbeitungsziel
Versucht proaktiv, die personenbezogenen Daten (PII) der Bürger zu schützen
Versuchen Sie proaktiv, die Anforderungen von Regierung und Unternehmen mit Sicherheitsbedenken hinsichtlich der Erfassung und Verwendung personenbezogener Daten in Einklang zu bringen
persönliche Privatsphäre
Typ:
Recht, allein gelassen zu werden
Schutz vor unangemessenen Rechten gegenüber Einzelpersonen
Das Recht zu entscheiden, welche personenbezogenen Daten an wen weitergegeben werden dürfen
Zu beachtende Punkte:
Um unangemessene Rechtsverletzungen zu verhindern, sind eine informierte Einwilligung und geeignete Schutzmaßnahmen das A und O.
Um dem Mangel an geeigneten Methoden vorzubeugen, gilt unter dem Strich „Fairness und Gerechtigkeit“ und es gibt einen Fehlerkorrekturmechanismus.
Grundsätze zur Nutzung personenbezogener Daten
Pflichten des Verantwortlichen für personenbezogene Daten
Die Erhebung personenbezogener Daten erfordert die Einwilligung des Betroffenen und die Angabe des Zwecks
Erheben Sie nur zweck- und verwendungsbezogene Daten und speichern Sie diese nur für den für den Zweck erforderlichen Zeitraum.
Methoden der Datenerhebung Methoden zum Zwecke der Datenerhebung
Ergreifen Sie angemessene technische, verwaltungstechnische und betriebliche Maßnahmen, um zu verhindern, dass personenbezogene Daten böswillig verletzt werden. Stellen Sie die Integrität und Vertraulichkeit der Daten sicher und löschen Sie veraltete Daten, um den Zugriff durch Personen zu verhindern, die keine relevanten Arbeiten ausführen müssen.
Pflichten und Rechte der Betroffenen personenbezogener Daten
Überprüfen Sie die gesammelten Informationen und korrigieren Sie Fehler
Datenleck
Nach jedem Sicherheitsvorfall sollte untersucht werden, ob ein Datenschutzverstoß vorliegt.
Ethik
ISC2-Ethikkodex
Schützen Sie die Gesellschaft, die öffentlichen Interessen und die Infrastruktur und gewinnen Sie das notwendige Vertrauen der Öffentlichkeit Seien Sie ehrlich, ehrlich, fair, verantwortungsbewusst und gesetzestreu Fördern Sie die Branchenentwicklung und bewahren Sie Ihren professionellen Ruf Fleißig, verantwortungsbewusst und professionell
Computer-Ethik-Vereinigung
Forschungsausschuss für Internetarchitektur
Mythos der Computerkriminalität
BCP- und DRP-Anforderungen
BCP/DRP-Übersicht (Kapitel 7)
Was ist eine Katastrophe?
Plötzliche, unglückliche Unfälle, die schwere Verluste nach sich ziehen.
enthalten:
Naturkatastrophen wie Erdbeben, Überschwemmungen, Naturbrände, Vulkanausbrüche und schwere Konvektionswetter
Systemisch/technisch, wie Hardware-, Softwareunterbrechungen, System-/Programmierfehler
Versorgungssysteme, Kommunikationsausfälle, Ausfälle von Verteilungssystemen, Rohrbrüche
Vom Menschen verursacht, Explosion, Feuer, Vandalismus, chemische Kontamination, schädlicher Code
Politische, terroristische Aktivitäten, Unruhen, Streiks
Organisationskatastrophe
Für eine Organisation alles, was dazu führt, dass kritische Geschäftsfunktionen ausgeführt werden Ereignisse, die nicht innerhalb eines bestimmten Zeitraums durchgeführt werden können, gelten als Katastrophen
Merkmale:
Ungeplanter Serviceausfall
Längerer Dienstausfall
Der Ausfall kann nicht durch normale Problemmanagementverfahren behoben werden
Störungen verursachen erhebliche Verluste
zwei Elemente
Die Kritikalität der vom Ausfall betroffenen Geschäftsfunktionen
Dauer der Unterbrechung
Disaster Recovery Plan, DRP
Ziele für die Notfallwiederherstellung
Reduzieren Sie die Auswirkungen von Katastrophen oder Betriebsunterbrechungen
Ergreifen Sie die notwendigen Schritte, um sicherzustellen, dass Ressourcen, Mitarbeiter und Geschäftsprozesse so schnell wie möglich wiederhergestellt werden
neigen dazu, der IT-Ebene mehr Aufmerksamkeit zu schenken
Geschäftskontinuitätsplan, BCP
Geschäftskontinuitätsziele
Stellen Sie sicher, dass die Organisation den Geschäftsbetrieb auch in verschiedenen Situationen aufrechterhalten kann
Lösen Sie Probleme aus einer längerfristigen Perspektive und stellen Sie vor allem Methoden und Maßnahmen für langfristige Produktionsstillstände und Katastrophenereignisse bereit
Ziel Zielsetzung
Im Notfall rechtzeitig und angemessen reagieren
Leben schützen und Sicherheit gewährleisten
Reduzieren Sie die Auswirkungen auf das Geschäft
Stellen Sie kritische Geschäftsfunktionen wieder her
Reduzieren Sie das Chaos bei Katastrophen
Sorgen Sie für die Rentabilität Ihres Unternehmens
Machen Sie sich nach einer Katastrophe schnell wieder einsatzbereit
BCP sollte mit den Geschäftszielen der Organisation im Einklang stehen und Teil des gesamten Entscheidungsprozesses sein
Das BCP sollte Teil des Sicherheitsprogramms der Organisation sein und mit anderen Elementen des Sicherheitsprogramms koordiniert werden
Standards und Best Practices
NISTSP800-34
Entwickeln Sie eine Kontinuitätsplanungsstrategie (Richtlinie)
Führen Sie eine Business-Impact-Analyse (BIA) durch.
Bestimmen Sie vorbeugende Kontrollmethoden
Entwickeln Sie eine Wiederherstellungsstrategie
BCP entwickeln
Testen Sie BCP
Halten Sie einen Geschäftskontinuitätsplan aufrecht
ISO27031
ISO22301
BCP-Projektplanung
Vorbereitende Aktivitäten vor dem Start des BCP-Projekts
Bestimmen Sie den BCP-Bedarf, einschließlich einer gezielten Risikoanalyse um mögliche Störungen kritischer Systeme zu identifizieren
Verstehen Sie relevante Gesetze, Vorschriften, Branchennormen und das Geschäft der Organisation und technische Planungsanforderungen, um sicherzustellen, dass das BCP mit diesen übereinstimmt
Ernennen Sie einen BCP-Projektleiter und stellen Sie ein BCP-Team zusammen, dem Vertreter aus geschäftlichen und technischen Abteilungen angehören
Entwickeln Sie einen Projektmanagementplan, der den Projektumfang und die Ziele klar definieren sollte. Methoden, Verantwortlichkeiten, Aufgaben und Fortschritt
Einberufung eines Projekt-Kick-off-Meetings, um Managementunterstützung zu erhalten
Bestimmen Sie die Automatisierungstools, die zum Sammeln von Daten erforderlich sind
Notwendige Kompetenzschulungen und Sensibilisierungsmaßnahmen für Einrichtungen
BCP-Projektleiter
Als BCP-Projektleiter trägt der Business-Continuity-Koordinator die volle Verantwortung für die Projektplanung, Vorbereitung, Schulung und andere Arbeiten
Arbeitsaufgaben
Kommunikation und Verbindung zwischen Programmentwicklungsteam und Management
Das Recht auf direkten Kontakt und Kommunikation mit allen am Plan Beteiligten
Verstehen Sie die Auswirkungen einer Betriebsunterbrechung auf das Geschäft der Organisation vollständig
Vertraut mit den Bedürfnissen und Abläufen der Organisation und der Fähigkeit, die unterschiedlichen Bedürfnisse der relevanten Abteilungen der Organisation in Einklang zu bringen
Einfacherer Zugang zur Geschäftsleitung
Verstehen Sie die Geschäftsausrichtung der Organisation und die Absichten der Geschäftsleitung
Fähigkeit, Entscheidungen der Geschäftsleitung zu beeinflussen
Schlüsselrollen im BCP-Projekt
Wiederherstellungsteam, mehrere Teams, die nach einer Katastrophe Bewertung, Wiederherstellung, Wiederherstellung und andere damit verbundene Arbeiten durchführen
Vertreter der Geschäftsbereiche identifizieren die kritischen Geschäftsfunktionen der Organisation und helfen bei der Auswahl und Entwicklung von Wiederherstellungsstrategien
IT Abteilung
Kommunikationsabteilung
Abteilung für Informationssicherheit
gesetzlicher Vertreter
BCP-Strategie
Der BCP-Plan sollte letztendlich einen Rahmen für die Geschäftskontinuitätsstrategie bilden. Die im BCP erfassten Bedingungen
Ziele, Umfang, Bedürfnisse
Grundprinzipien und Richtlinien
Pflichten und Verantwortungen
Grundvoraussetzungen für Schlüssellinks
Die Bedingungen der Richtlinie sollten von der Geschäftsleitung offiziell genehmigt und als Organisationsrichtlinie veröffentlicht werden, um die Bemühungen zur Geschäftskontinuität zu leiten.
Business-Impact-Analyse BIA
Überblick über die Business-Impact-Analyse
Identifizieren Sie Bereiche, die im Katastrophenfall zu erheblichen Schäden oder Betriebsunterbrechungen führen könnten
BIA-Analysemethode
Qualitative Analyse zur Bestimmung der Auswirkung einer Katastrophe oder eines Störungsereignisses hinsichtlich der Schwere
Quantitative Analyse der monetären Auswirkungen einer Katastrophe oder eines Störungsereignisses
BIA-Zweck
Unterstützen Sie das Management dabei, mögliche Auswirkungen von Störungen zu verstehen
Identifizieren Sie wichtige Geschäftsfunktionen und die IT-Ressourcen, die diese Funktionen unterstützen
Unterstützen Sie Manager bei der Identifizierung von Lücken in der funktionalen Unterstützung der Organisation
Sequenzieren Sie die Wiederherstellung von IT-Ressourcen
Analysieren Sie die Auswirkungen von Ausfällen
Bestimmen Sie Wiederherstellungsfenster für jede Geschäftsfunktion
BIA-Prozess
Identifizieren Sie Techniken zur Informationserfassung
Befragte auswählen
Identifizieren Sie kritische Geschäftsfunktionen und ihre unterstützenden Ressourcen
Bestimmen Sie, wie lange diese Funktionen überleben würden, wenn die Unterstützung durch diese Ressourcen verloren ginge
Identifizieren Sie Schwächen und Bedrohungen
Berechnen Sie das Risiko für jede Geschäftsfunktion
Bereiten Sie sich auf die Einreichung des BIA-Berichts vor
Probleme
Antwortvorschläge
BIA-Informationsanalyse
Organisieren, korrelieren, analysieren und bestätigen
Qualitative und quantitative automatisierte Tools Unterstützen Sie bei der Integration und Analyse von Informationen
Der Vertreter des Unternehmens prüft und bestätigt die Ergebnisse der Informationsanalyse
Bestimmen Sie die zulässige Interruptzeit MTD
Die Kernaufgabe der Business-Impact-Analyse besteht darin, wichtige Geschäftsfunktionen zu identifizieren und Die maximal zulässige Unterbrechungszeit MTDs der unterstützten Ressourcen
Ressourcen, die mehrere Geschäftsfunktionen unterstützen, sind wichtiger
Die Unterbrechungszeit überschreitet die maximal zulässige Unterbrechungszeit (Maximal tolerierbare Ausfallzeit) wird es schwierig sein, das Unternehmen wiederherzustellen, je kritischer Funktionen oder Ressourcen sind
Ordnen Sie die Wiederherstellung kritischer Geschäftsfunktionen und ihrer unterstützenden Ressourcen anhand von MTDs an
Ermittlung der Supportressourcen
Identifizieren Sie alle unterstützenden Ressourcen für kritische Funktionen (einschließlich Nicht-Computerressourcen). Die Nutzungsdauer der Ressource und die Auswirkung des Ressourcenmangels auf die Funktion und gegenseitige Abhängigkeiten zwischen Ressourcen
Kennzahlen zur Notfallwiederherstellung
Arbeitserholungszeit, WRT
Die Erholungszeit nach der Arbeit ist relativ festgelegt
Wiederherstellungszeitziel, Wiederherstellungszeitobjekt, RTO
Bevor die Nichtverfügbarkeit des Systems ernsthafte Auswirkungen auf die Organisation hat Die maximal zulässige Zeit, die verbraucht werden darf
Wiederherstellungspunktziele, Wiederherstellungspunktziele, RPO
Der Punkt, an dem Daten wiederhergestellt werden müssen, um die Verarbeitung fortzusetzen. Das heißt, die maximal zulässige Menge an Datenverlust
RTO WRT=MTD