Offene Fragen OPL
Risikostufen gleich Bewertungsstufen?
Oder sind die Bewertungsstufen die Zusammensetzung aus Risikostufe und Eintrittswahrscheinlichkeit?
Wie werden Methoden zur kontinuierlichen Verbesserungen (die jährlich empfohlen werden) wie bspw. PDCA dokumentiert bzw. "geplant"?
Reicht ein einfacher Serientermin zu diesem Thema mit geplanten Workshops?
Controls bzw. Maßnahmen aus Anhang A nur relevant, wenn im geschäftlichen Umfeld existent
Bedeutet also, wenn ich bspw. A.6.2 Mobilgeräte nicht einsetzen würde, müsste ich diese Controls auch nicht beachten
Buch Seite 13 - "welche konkreten Maßnahmen (ggf. auch Optionen) zur Umsetzung des Controls geplant oder bereits vorhanden sind"
d.h. es müssen nicht alle Maßnahmen bereits realisiert sein sondern auch eine Planung ist ausreichend? Wann und wie häufig ist eine Planung ausreichend für die Zertifizierung? oder müssen zum Auditzeitpunkt alle Maßnahmen bereits realisiert sein?
Wann macht es Sinn, Assetowner und Riskowner zu trennen?
Beim Prozess / Asset "KRN-KUN-PROJEKTANFRG" geht es um die Bearbeitung von Projektanfragen. Das würde ich originär beim Vertrieb sehen, aber da es am Ende durch die Kundenbetreuung durchgeführt wird, konkret durch den Bereich Projekte, würde ich das finale Risiko beim Bereich Projekte sehen, die Ownership aber beim Vertrieb.