Offene Fragen OPL
Risikostufen gleich Bewertungsstufen?
Oder sind die Bewertungsstufen die Zusammensetzung aus Risikostufe und Eintrittswahrscheinlichkeit?
Wie werden Methoden zur kontinuierlichen Verbesserungen (die jährlich empfohlen werden) wie bspw. PDCA dokumentiert bzw. "geplant"?
Reicht ein einfacher Serientermin zu diesem Thema mit geplanten Workshops?
Controls bzw. Maßnahmen aus Anhang A nur relevant, wenn im geschäftlichen Umfeld existent
Bedeutet also, wenn ich bspw. A.6.2 Mobilgeräte nicht einsetzen würde, müsste ich diese Controls auch nicht beachten
Buch Seite 13 - "welche konkreten Maßnahmen (ggf. auch Optionen) zur Umsetzung des Controls geplant oder bereits vorhanden sind"
d.h. es müssen nicht alle Maßnahmen bereits realisiert sein sondern auch eine Planung ist ausreichend? Wann und wie häufig ist eine Planung ausreichend für die Zertifizierung? oder müssen zum Auditzeitpunkt alle Maßnahmen bereits realisiert sein?