RiLi-Schwachstellenmanagement - Versionsgeschichte

Dirk: /* Gesetzliche Rahmenbedingungen */

2024-08-22T17:26:18Z

Gesetzliche Rahmenbedingungen

← Nächstältere Version		Version vom 22. August 2024, 19:26 Uhr
Zeile 22:		Zeile 22:
	* Das IT-Sicherheitsgesetz regelt sicherheitsrelevante Aspekte der Informationstechnik für kritische Infrastrukturen. Es schreibt vor, dass Unternehmen angemessene technische und organisatorische Maßnahmen ergreifen müssen, um ihre IT-Systeme zu schützen und Sicherheitsvorfälle zu verhindern.		* Das IT-Sicherheitsgesetz regelt sicherheitsrelevante Aspekte der Informationstechnik für kritische Infrastrukturen. Es schreibt vor, dass Unternehmen angemessene technische und organisatorische Maßnahmen ergreifen müssen, um ihre IT-Systeme zu schützen und Sicherheitsvorfälle zu verhindern.
	* ISO/IEC 27001 ist ein internationaler Standard, BSI IT-Grundschutz ein deutscher Standard für Informationssicherheitsmanagement.		* ISO/IEC 27001 ist ein internationaler Standard, BSI IT-Grundschutz ein deutscher Standard für Informationssicherheitsmanagement.
			''Mögliche weitere rechtliche Rahmenbedingungen sind im Artikel [[Rechtsgrundlagen]] aufgelistet.''

	==Verantwortliche ==		==Verantwortliche ==

Dirk am 14. August 2024 um 14:40 Uhr

2024-08-14T14:40:32Z

← Nächstältere Version		Version vom 14. August 2024, 16:40 Uhr
Zeile 3:		Zeile 3:
	\|keywords=Muster, Beispiel, Richtlinie, Schwachstellenmanagement, IT-Sicherheit, Schwachstellenidentifizierung, Schwachstellenbewertung, Schwachstellenbeseitigung, IT-Systemschutz, Datenschutz, ISO/IEC 27001, BSI IT-Grundschutz, CERT-Meldungen		\|keywords=Muster, Beispiel, Richtlinie, Schwachstellenmanagement, IT-Sicherheit, Schwachstellenidentifizierung, Schwachstellenbewertung, Schwachstellenbeseitigung, IT-Systemschutz, Datenschutz, ISO/IEC 27001, BSI IT-Grundschutz, CERT-Meldungen
	\|description=Richtlinie zum Schwachstellenmanagement in IT-Systemen, inklusive Identifizierung, Bewertung, Beseitigung und Überwachung von Schwachstellen.		\|description=Richtlinie zum Schwachstellenmanagement in IT-Systemen, inklusive Identifizierung, Bewertung, Beseitigung und Überwachung von Schwachstellen.
	}}{{~~SHORTDEC~~:Muster Richtlinie zum Management von Schwachstellen}}		}}{{SHORTDESC:Muster Richtlinie zum Management von Schwachstellen}}
	''Ein funktionierendes Schwachstellenmanagement ist unerlässlich, um die IT-Systeme einer Organisation vor Bedrohungen zu schützen, indem Schwachstellen systematisch identifiziert, bewertet und beseitigt werden. Die Richtlinie zum Schwachstellenmanagement hilft, klare Prozesse und Verantwortlichkeiten zu definieren, um Schwachstellen effektiv zu managen und die Sicherheit der IT-Infrastruktur kontinuierlich zu verbessern.''		''Ein funktionierendes Schwachstellenmanagement ist unerlässlich, um die IT-Systeme einer Organisation vor Bedrohungen zu schützen, indem Schwachstellen systematisch identifiziert, bewertet und beseitigt werden. Die Richtlinie zum Schwachstellenmanagement hilft, klare Prozesse und Verantwortlichkeiten zu definieren, um Schwachstellen effektiv zu managen und die Sicherheit der IT-Infrastruktur kontinuierlich zu verbessern.''

Dirk am 14. August 2024 um 14:39 Uhr

2024-08-14T14:39:39Z

Änderungen zeigen

Dirk am 25. März 2024 um 06:06 Uhr

2024-03-25T06:06:15Z

← Nächstältere Version		Version vom 25. März 2024, 08:06 Uhr
Zeile 2:		Zeile 2:
	{{#seo:		{{#seo:
	\|title=Richtlinie zum Management von Schwachstellen		\|title=Richtlinie zum Management von Schwachstellen
	\|keywords=Muster,Beispiel,Richtlinie,~~Schwachstellen~~,~~Vulnerability~~,~~Bedrohungen~~		\|keywords=Muster, Beispiel, Richtlinie, Schwachstellenmanagement, IT-Sicherheit, Schwachstellenidentifizierung, Schwachstellenbewertung, Schwachstellenbeseitigung, IT-Systemschutz, Datenschutz, ISO/IEC 27001, BSI IT-Grundschutz, CERT-Meldungen
	\|description=~~Diese~~ IT-~~Sicherheitsrichtlinie für das Schwachstellenmanagement (Vulnerability Management) ist ein wichtiger Baustein~~, ~~um die IT-Systeme und Daten der Organisation vor Bedrohungen zu schützen. Diese Richtlinie legt fest~~, ~~wie die Organisation Schwachstellen in ihren Systemen identifiziert~~, ~~bewertet~~ und ~~beseitigt~~.		\|description=Richtlinie zum Schwachstellenmanagement in IT-Systemen, inklusive Identifizierung, Bewertung, Beseitigung und Überwachung von Schwachstellen.
	}}		}}
	Mustervorlage: '''"Richtlinie Schwachstellenmanagement"'''		Mustervorlage: '''"Richtlinie Schwachstellenmanagement"'''

Dirk: /* Schlussbemerkung */

2023-10-02T19:10:32Z

Schlussbemerkung

← Nächstältere Version		Version vom 2. Oktober 2023, 21:10 Uhr
Zeile 99:		Zeile 99:

	== Schlussbemerkung ==		== Schlussbemerkung ==
			===Behandlung von Ausnahmen===
			Ausnahmen von den Regelungen dieser Richtlinie sind nur mit einem begründeten Ausnahmeantrag im Rahmen des [[RiLi-Ausnahmemanagement\|Ausnahmemanagements]] möglich.
			===Revision===
			Diese Richtlinie wird regelmäßig, jedoch mindestens einmal pro Jahr, durch den Regelungsverantwortlichen auf Aktualität und Konformität geprüft und bei Bedarf angepasst.
	== Inkrafttreten ==		== Inkrafttreten ==
	Diese Richtlinie tritt zum 01.01.2222 in Kraft.		Diese Richtlinie tritt zum 01.01.2222 in Kraft.

Dirk am 21. September 2023 um 13:02 Uhr

2023-09-21T13:02:03Z

← Nächstältere Version		Version vom 21. September 2023, 15:02 Uhr
Zeile 1:		Zeile 1:
			{{Vorlage:Entwurf}}
	{{#seo:		{{#seo:
	\|title=Richtlinie zum Management von Schwachstellen		\|title=Richtlinie zum Management von Schwachstellen

Dirk am 23. Juli 2023 um 11:33 Uhr

2023-07-23T11:33:22Z

← Nächstältere Version		Version vom 23. Juli 2023, 13:33 Uhr
Zeile 2:		Zeile 2:
	\|title=Richtlinie zum Management von Schwachstellen		\|title=Richtlinie zum Management von Schwachstellen
	\|keywords=Muster,Beispiel,Richtlinie,Schwachstellen,Vulnerability,Bedrohungen		\|keywords=Muster,Beispiel,Richtlinie,Schwachstellen,Vulnerability,Bedrohungen
	\|description=Diese IT-Sicherheitsrichtlinie für Schwachstellenmanagement (Vulnerability-Management) ist ein wichtiger Baustein, um die IT-Systeme und Daten der Organisation vor Bedrohungen zu schützen. Diese Richtlinie legt fest, wie die Organisation Schwachstellen in ihren Systemen identifiziert, bewertet und beseitigt.		\|description=Diese IT-Sicherheitsrichtlinie für das Schwachstellenmanagement (Vulnerability Management) ist ein wichtiger Baustein, um die IT-Systeme und Daten der Organisation vor Bedrohungen zu schützen. Diese Richtlinie legt fest, wie die Organisation Schwachstellen in ihren Systemen identifiziert, bewertet und beseitigt.
	}}		}}
	Mustervorlage: '''"Richtlinie Schwachstellenmanagement"'''		Mustervorlage: '''"Richtlinie Schwachstellenmanagement"'''

Dirk: /* Einleitung */

2023-07-23T11:32:19Z

Einleitung

← Nächstältere Version		Version vom 23. Juli 2023, 13:32 Uhr
Zeile 7:		Zeile 7:

	== Einleitung ==		== Einleitung ==
	Diese IT-Sicherheitsrichtlinie für Schwachstellenmanagement (Vulnerability-Management) ist ein wichtiger Baustein, um die IT-Systeme und Daten der Organisation vor Bedrohungen zu schützen. Diese Richtlinie legt fest, wie die Organisation Schwachstellen in ihren Systemen identifiziert, bewertet und beseitigt.		Diese IT-Sicherheitsrichtlinie für das Schwachstellenmanagement (Vulnerability Management) ist ein wichtiger Baustein, um die IT-Systeme und Daten der Organisation vor Bedrohungen zu schützen. Diese Richtlinie legt fest, wie die Organisation Schwachstellen in ihren Systemen identifiziert, bewertet und beseitigt.

	== Geltungsbereich ==		== Geltungsbereich ==
Zeile 14:		Zeile 14:
	== Zielsetzung ==		== Zielsetzung ==

	Durch die ~~Implementierung~~ der IT-Sicherheitsrichtlinie ~~für~~ Schwachstellenmanagement stellt die Organisation sicher, dass ihre IT-Systeme und Daten bestmöglich vor Bedrohungen geschützt sind und ~~dass~~ Schwachstellen schnell und effektiv behoben werden.		Durch die Umsetzung der IT-Sicherheitsrichtlinie zum Schwachstellenmanagement stellt die Organisation sicher, dass ihre IT-Systeme und Daten bestmöglich vor Bedrohungen geschützt sind und Schwachstellen schnell und effektiv behoben werden.

	== Gesetzliche Rahmenbedingungen ==		== Gesetzliche Rahmenbedingungen ==
	Die Organisation muss sicherstellen, dass die geltenden gesetzlichen Bestimmungen und Standards im Bereich der IT-Sicherheit und des Datenschutzes ~~einhalten~~ werden. ~~Hier~~ sind ~~u.a zu beachten:~~		Die Organisation muss sicherstellen, dass die geltenden gesetzlichen Bestimmungen und Standards im Bereich der IT-Sicherheit und des Datenschutzes eingehalten werden. Zu beachten sind unter anderem

	* Die ~~Datenschutz-Grundverordnung~~ (DSGVO) regelt den Schutz personenbezogener Daten in der Europäischen Union und legt fest, wie personenbezogene Daten verarbeitet werden dürfen aber auch wann und wie Vorfälle ~~zu melden sind~~.		* Die Datenschutzgrundverordnung (DSGVO) regelt den Schutz personenbezogener Daten in der Europäischen Union und legt fest, wie personenbezogene Daten verarbeitet werden dürfen, aber auch wann und wie Vorfälle gemeldet werden müssen.
	* Das IT-Sicherheitsgesetz regelt sicherheitsrelevante Aspekte der Informationstechnik für kritische Infrastrukturen. Es schreibt vor, dass Unternehmen angemessene technische und organisatorische Maßnahmen ergreifen müssen, um ihre IT-Systeme zu schützen und Sicherheitsvorfälle zu verhindern.		* Das IT-Sicherheitsgesetz regelt sicherheitsrelevante Aspekte der Informationstechnik für kritische Infrastrukturen. Es schreibt vor, dass Unternehmen angemessene technische und organisatorische Maßnahmen ergreifen müssen, um ihre IT-Systeme zu schützen und Sicherheitsvorfälle zu verhindern.
	* ISO/IEC 27001 ist ~~eine internationale Norm~~, BSI IT-Grundschutz ~~eine~~ deutscher Standard für Informationssicherheitsmanagement.		* ISO/IEC 27001 ist ein internationaler Standard, BSI IT-Grundschutz ein deutscher Standard für Informationssicherheitsmanagement.

	==Verantwortliche ==		==Verantwortliche ==
	''Beschreibung welche Bereiche der Organisation für die Identifizierung und Bearbeitung von Schwachstellen verantwortlich sind. Die Verantwortlichkeiten können zentral (z.b. ein SOC) oder dezentral (im Betrieb) organisiert ~~werden~~.''		''Beschreibung, welche Bereiche der Organisation für die Identifizierung und Bearbeitung von Schwachstellen verantwortlich sind. Die Verantwortlichkeiten können zentral (z.B. ein SOC) oder dezentral (im Betrieb) organisiert sein.''

	== Schwachstellenidentifikation ==		== Schwachstellenidentifikation ==
Zeile 30:		Zeile 30:

	=== Arten von Schwachstellen ===		=== Arten von Schwachstellen ===
	In der Organisation ~~können~~ verschiedene Arten von Schwachstellen ~~bestehen~~ die ~~unterschiedlich~~ erkannt und behandelt werden müssen:		In der Organisation kann es verschiedene Arten von Schwachstellen geben, die auf unterschiedliche Weise erkannt und behandelt werden müssen:

	==== Personelle Schwachstellen ====		==== Personelle Schwachstellen ====
Zeile 51:		Zeile 51:

	==== Schwachstellen in der Konfiguration ====		==== Schwachstellen in der Konfiguration ====
	Konfigurationsschwachstellen sind Risiken für ein IT-System aufgrund von Fehlkonfigurationen. Fehlkonfigurationen können fehlerhafte oder ~~unzulängliche~~ Standardeinstellungen oder technische Probleme sein, die das System unsicher machen.		Konfigurationsschwachstellen sind Risiken für ein IT-System aufgrund von Fehlkonfigurationen. Fehlkonfigurationen können fehlerhafte oder unzureichende Standardeinstellungen oder technische Probleme sein, die das System unsicher machen.

	=== Quellen ===		=== Quellen ===
Zeile 67:		Zeile 67:

	==== Regelmäßige Schwachstellen-Scans ====		==== Regelmäßige Schwachstellen-Scans ====
	Das Security Operation Center (SOC) der Organisation führt mindestens vierteljährlich in ~~Absprache~~ mit dem Betrieb einen systematischen ~~Schwachstellen-Scan~~ aller IT-Systeme der Organisation durch. ~~Daneben~~ werden ~~bedarfsorientiert~~, z.B. bei neuen Anwendungen oder erhöhter Risikolage, zusätzliche Scans durchgeführt. Die Ergebnisse der Scans ~~werden dokumentiert~~. Die Dokumentation ~~wird~~ so ~~ausgeführt~~, dass ein Vergleich mit Ergebnissen ~~vorhergehender~~ Scans möglich ist und diese systematisch (nicht personenbezogen) ausgewertet werden können.		Das Security Operation Center (SOC) der Organisation führt mindestens vierteljährlich in Abstimmung mit dem Betrieb einen systematischen Schwachstellenscan aller IT-Systeme der Organisation durch. Darüber hinaus werden bei Bedarf, z.B. bei neuen Anwendungen oder erhöhter Risikolage, zusätzliche Scans durchgeführt. Die Ergebnisse der Scans sind zu dokumentieren. Die Dokumentation erfolgt so, dass ein Vergleich mit den Ergebnissen früherer Scans möglich ist und diese systematisch (nicht personenbezogen) ausgewertet werden können.

	== Schwachstellenbewertung ==		== Schwachstellenbewertung ==

Dirk am 22. April 2023 um 08:34 Uhr

2023-04-22T08:34:33Z

← Nächstältere Version		Version vom 22. April 2023, 10:34 Uhr
Zeile 1:		Zeile 1:
			{{#seo:
			\|title=Richtlinie zum Management von Schwachstellen
			\|keywords=Muster,Beispiel,Richtlinie,Schwachstellen,Vulnerability,Bedrohungen
			\|description=Diese IT-Sicherheitsrichtlinie für Schwachstellenmanagement (Vulnerability-Management) ist ein wichtiger Baustein, um die IT-Systeme und Daten der Organisation vor Bedrohungen zu schützen. Diese Richtlinie legt fest, wie die Organisation Schwachstellen in ihren Systemen identifiziert, bewertet und beseitigt.
			}}
	Mustervorlage: '''"Richtlinie Schwachstellenmanagement"'''		Mustervorlage: '''"Richtlinie Schwachstellenmanagement"'''

Dirk: Die Seite wurde neu angelegt: „Mustervorlage: '''"Richtlinie Schwachstellenmanagement"''' == Einleitung == Diese IT-Sicherheitsrichtlinie für Schwachstellenmanagement (Vulnerability-Management) ist ein wichtiger Baustein, um die IT-Systeme und Daten der Organisation vor Bedrohungen zu schützen. Diese Richtlinie legt fest, wie die Organisation Schwachstellen in ihren Systemen identifiziert, bewertet und beseitigt. == Geltungsbereich == Diese Richtlinie gilt für alle IT-Systeme der…“

2023-03-24T06:35:52Z

Die Seite wurde neu angelegt: „Mustervorlage: '''"Richtlinie Schwachstellenmanagement"''' == Einleitung == Diese IT-Sicherheitsrichtlinie für Schwachstellenmanagement (Vulnerability-Management) ist ein wichtiger Baustein, um die IT-Systeme und Daten der Organisation vor Bedrohungen zu schützen. Diese Richtlinie legt fest, wie die Organisation Schwachstellen in ihren Systemen identifiziert, bewertet und beseitigt. == Geltungsbereich == Diese Richtlinie gilt für alle IT-Systeme der…“

Neue Seite

Mustervorlage: '''"Richtlinie Schwachstellenmanagement"'''

== Einleitung ==
Diese IT-Sicherheitsrichtlinie für Schwachstellenmanagement (Vulnerability-Management) ist ein wichtiger Baustein, um die IT-Systeme und Daten der Organisation vor Bedrohungen zu schützen. Diese Richtlinie legt fest, wie die Organisation Schwachstellen in ihren Systemen identifiziert, bewertet und beseitigt.

== Geltungsbereich ==
Diese Richtlinie gilt für alle IT-Systeme der Organisation.

== Zielsetzung ==

Durch die Implementierung der IT-Sicherheitsrichtlinie für Schwachstellenmanagement stellt die Organisation sicher, dass ihre IT-Systeme und Daten bestmöglich vor Bedrohungen geschützt sind und dass Schwachstellen schnell und effektiv behoben werden.

== Gesetzliche Rahmenbedingungen ==
Die Organisation muss sicherstellen, dass die geltenden gesetzlichen Bestimmungen und Standards im Bereich der IT-Sicherheit und des Datenschutzes einhalten werden. Hier sind u.a zu beachten:

* Die Datenschutz-Grundverordnung (DSGVO) regelt den Schutz personenbezogener Daten in der Europäischen Union und legt fest, wie personenbezogene Daten verarbeitet werden dürfen aber auch wann und wie Vorfälle zu melden sind.
* Das IT-Sicherheitsgesetz regelt sicherheitsrelevante Aspekte der Informationstechnik für kritische Infrastrukturen. Es schreibt vor, dass Unternehmen angemessene technische und organisatorische Maßnahmen ergreifen müssen, um ihre IT-Systeme zu schützen und Sicherheitsvorfälle zu verhindern.
* ISO/IEC 27001 ist eine internationale Norm, BSI IT-Grundschutz eine deutscher Standard für Informationssicherheitsmanagement.

==Verantwortliche ==
''Beschreibung welche Bereiche der Organisation für die Identifizierung und Bearbeitung von Schwachstellen verantwortlich sind. Die Verantwortlichkeiten können zentral (z.b. ein SOC) oder dezentral (im Betrieb) organisiert werden.''

== Schwachstellenidentifikation ==
''Hier sollte beschrieben werden, wie die Organisation Schwachstellen identifiziert.z.B.:''

=== Arten von Schwachstellen ===
In der Organisation können verschiedene Arten von Schwachstellen bestehen die unterschiedlich erkannt und behandelt werden müssen:

==== Personelle Schwachstellen ====
Die Mitarbeitenden der Organisation können ein Risiko für die IT-Sicherheit darstellen.

* Da Menschen für den manuellen Betrieb der IT-Systeme und Anwendungen der Organisation verantwortlich sind, kann eine Vielzahl von Risiken allein durch menschliches Versagen entstehen. So können beispielsweise unvollständige Dokumentation, unzureichende Schulung, die fehlerhafte Konfiguration oder Ausführung von Verfahren im Unternehmen zu Problemen führen.
* Inselwissen, das nur in den Köpfen einzelner Mitarbeitenden existiert, kann zum Problem werden, wenn die betroffenen Mitarbeitenden plötzlich ausfallen oder die Organisation verlassen.
* Fehlende Sensibilisierung führt zu Anfälligkeit der Mitarbeitenden für Phishing-, Maleware- und Social Engineering-Angriffe.
* Zu den personellen Schwachstellen gehört auch das Risiko, dass durch die Kopie/Verlagerung wichtiger Organisationsdaten auf lokale Geräte der Mitarbeitenden entsteht. Im Bedarfsfall sind die Daten ggf. nur noch auf einem externen Gerät gespeichert und es besteht die Gefahr, dass sie verloren gehen oder in falsche Hände geraten.

==== Physische Schwachstellen ====
Die elementarsten Arten von Schwachstellen sind physische Schwachstellen. Dies kann z.B sein:

* Mangelnder Schutz gegen Umwelteinflüsse (Wasser, Feuer, Staub, ...),
* lokale Schwachstellen in der Versorgung (Stromversorgung, Klimatisierung, Netzzugang, ...),
* mangelnder Schutz gegen schädliche physische Bedrohungen (Einbruch, Diebstahl, Vandalismus, ...).

==== Schwachstellen in Anwendungen ====
Bei der Erstellung und Verbesserung von Computerprogrammen können Fehler und Schwachstellen entstehen. Diese Programmschwachstellen und Fehler können von Angreifern ausgenutzt werden oder zu Ausfällen führen.

==== Schwachstellen in der Konfiguration ====
Konfigurationsschwachstellen sind Risiken für ein IT-System aufgrund von Fehlkonfigurationen. Fehlkonfigurationen können fehlerhafte oder unzulängliche Standardeinstellungen oder technische Probleme sein, die das System unsicher machen.

=== Quellen ===
In der Organisation werden folgende Quellen für die Identifikation von Schwachstellen genutzt.

==== Meldung durch Mitarbeitende ====
Insbesondere personelle und physische Schwachstellen können nur durch aktive Beteiligung und Wahrnehmung der Mitarbeitenden der Organisation erkannt werden. Jeder Mitarbeitende ist ausdrücklich aufgefordert erkannte Schwachstellen zu melden. Bei personellen Schwachstellen geht es dabei ausdrücklich nicht um die Pflege von Denunziantentum. Hier können Kolleg(inn)en auch direkt angesprochen werden oder erkannter Sensibilisierungsbedarf anonym (ohne Nennung von Betroffenen) gemeldet werden. Jeder persönlich angesprochene Mitarbeitende sollte dabei offen für Verbesserungsvorschläge sein und dies -im Sinne der offenen Kommunikation- nicht als persönliche Kritik interpretieren.

Die Meldung von erkannten physischen Schwachstellen oder die Meldung von anonymisierten personellen Schwachstellen erfolgt über (...''Beschreibung der Meldewege, z.B.: Webformular, Ticketsystem, Email-(Funktions-)Postfach...'')

==== Auswertung von CERT-Meldungen ====
Die Organisation bezieht CERT-Meldungen vom Warn- und Informationsdienst vom CERT-Bund (https://wid.cert-bund.de/portal/wid/start) als Informationsbasis für bekannte Schwachstellen. ''(ggf. andere oder weitere CERT-Quellen benennen)''

Die CERT-Meldungen werden anhand der betroffenen Produkte und Software automatisiert an die zuständigen Verantwortlichen verteilt.

==== Regelmäßige Schwachstellen-Scans ====
Das Security Operation Center (SOC) der Organisation führt mindestens vierteljährlich in Absprache mit dem Betrieb einen systematischen Schwachstellen-Scan aller IT-Systeme der Organisation durch. Daneben werden bedarfsorientiert, z.B. bei neuen Anwendungen oder erhöhter Risikolage, zusätzliche Scans durchgeführt. Die Ergebnisse der Scans werden dokumentiert. Die Dokumentation wird so ausgeführt, dass ein Vergleich mit Ergebnissen vorhergehender Scans möglich ist und diese systematisch (nicht personenbezogen) ausgewertet werden können.

== Schwachstellenbewertung ==
''Die Richtlinie sollte festlegen, wie Schwachstellen bewertet werden, um ihre Auswirkungen auf das Unternehmen zu bestimmen. Hierbei kann es sich um die Kategorisierung von Schwachstellen nach Schweregrad oder die Bewertung der Auswirkungen auf die Geschäftsprozesse handeln.''

CVSS und Relevanz für Oganisation -> rot, gelb, blau

== Schwachstellenpriorisierung ==
''Die Richtlinie sollte festlegen, wie Schwachstellen priorisiert werden, um sicherzustellen, dass die wichtigsten Schwachstellen zuerst behoben werden.''

== Schwachstellenbeseitigung ==
''Die Richtlinie sollte festlegen, wie Schwachstellen beseitigt werden. Hierbei kann es sich um die Implementierung von Patches, die Aktualisierung von Systemen oder die Umsetzung von Workarounds handeln.''
== Überwachung ==
''Die Richtlinie sollte festlegen, wie das Unternehmen den Fortschritt beim Schwachstellenmanagement überwacht, um sicherzustellen, dass Schwachstellen zeitnah und effektiv behoben werden.''

== Schulung ==
''Die Richtlinie sollte sicherstellen, dass die Mitarbeiter des Unternehmens angemessen geschult sind, um Schwachstellen zu identifizieren und zu melden, um einen effektiven Schutz der IT-Systeme und Daten zu gewährleisten.''

=== Schulung SOC ===
Extra Budget, externe Schulung, externer Coach für Einrichtung...

=== Schulung Verantwortliche ===
interne Schulung für Fachverantwortliche zum Umgang mit CERT-Meldungen.

=== Schulung Mitarbeitende ===
Schulung und Sensibilisierung der MA.

== Incident Response ==
''Die Richtlinie sollte einen Plan für den Umgang mit Sicherheitsvorfällen enthalten, um sicherzustellen, dass das Unternehmen schnell und angemessen auf Schwachstellen und Bedrohungen reagieren kann''.

== Schlussbemerkung ==

== Inkrafttreten ==
Diese Richtlinie tritt zum 01.01.2222 in Kraft.

Freigegeben durch: Organisationsleitung

Ort, 01.12.2220,

Unterschrift, Name der Leitung

[[Kategorie:Mustervorlage]]
[[Kategorie:Richtlinie]]
[[Kategorie:Entwurf]]