Guten Tag,
durch die Report Abfrage kann ich sehen, dass es „geplante Controls“ und umgesetzte Controls gibt.
Der Business Impact der Integrität meines Assets ist 2, nach „geplanten Controls“ ist er 5, und nach „umgesetzten Controls“ liegt er bei 9.
Die Errechnung nach umgesetzten Controls kann ich mir aus dem Report erschließen, aber
welche Controls zählen als „geplante“, und wie berechnet sich der Business Impact nach „geplanten Controls“ genau?
Mit freundlichen Grüßen,
Aydin
Hallo Aydin,
bei den geplanten Controls handelt es sich um Controls, die mit dem Asset und/oder Szenario verknüpft sind UND den Umsetzungsstatus Teilweise, Unbearbeitet oder Nein haben. Dementsprechend sind die umgesetzten Controls mit dem Umsetzungsstatus Ja oder Entbehrlich.
Bei der Berechnung muss man bei dem Control das Control-Level und die Verknüpfung zum Asset und/oder Szenario beachten. Hat dieser Auswirkungen hinsichtlich der Vertraulichkeit, Integrität, Verfürgbarkeit und/oder die Wahrscheinlichkeit des Szenarios.
Im Grunde wird das Risiko wie folgt berechnet:
Business Impact Wert des Assets wird mit dem Wert des Szenarios (also der Bedrohung und Schwachstelle) addiert. Anschließend wird das Control entsprechend subtrahiert.
Hinweis:
Der verinice YouTube-Channel beinhaltet zwei Videos zum Thema ISMS nach ISO 27001:
verinice-Demo: ISMS nach ISO 27001 (Stanislav Strigunov)
verinice-Demo: ISMS nach ISO 27001 (Tatjana Anisow)
MfG
tanisow
