Sicherheitsmaßnahmen
Sicherheitsmaßnahmen sind nur eine Option zur Behandlung von Risiken. Sicherheitsmaßnahmen können aus sehr unterschiedlichen Bereichen kommen:
- rechtliche
- organisatorische
- personelle
- infrastrukturelle und
- IT-Maßnahmen
Bevor man solche Maßnahmen festlegt, sollten zunächst die Risiken priorisiert werden.
Eine weitere wichtige Aktivität besteht darin, bereits vorhandene Sicherheitsmaßnahmen zu ermitteln: Viele Organisationen fangen nicht bei Null an, sondern haben in der Vergangenheit schon Sicherheitsmaßnahmen eingerichtet, diese aber nicht systematisch erfasst und dokumentiert.
Somit steht die Aufgabe an, alle vorhandenen Maßnahmen zu erfassen, dann zu überprüfen, ob die betrachteten Risiken damit bereits ausreichend reduziert werden oder ob neue bzw. stärkere Maßnahmen erforderlich werden - ggf. auch, ob eine andere Option zur Risikobehandlung gewählt wird. #TODO
Diese Vorgehensweise wird seitens der Norm durch den Anhang A und das damit zusammenhängende Statement of Applicability (SoA) unterstützt.
Nach der Festlegung der Sicherheitsmaßnahmen wird der Prozess der Risikobeurteilung erneut durchlaufen werden. Es werden hier die verbleibenden Risiken ermittelt und bewertet.