Offene Fragen OPL

Risikostufen gleich Bewertungsstufen?
Oder sind die Bewertungsstufen die Zusammensetzung aus Risikostufe und Eintrittswahrscheinlichkeit?

Wie werden Methoden zur kontinuierlichen Verbesserungen (die jährlich empfohlen werden) wie bspw. PDCA dokumentiert bzw. "geplant"?
Reicht ein einfacher Serientermin zu diesem Thema mit geplanten Workshops?

Controls bzw. Maßnahmen aus Anhang A nur relevant, wenn im geschäftlichen Umfeld existent
Bedeutet also, wenn ich bspw. A.6.2 Mobilgeräte nicht einsetzen würde, müsste ich diese Controls auch nicht beachten

Buch Seite 13 - "welche konkreten Maßnahmen (ggf. auch Optionen) zur Umsetzung des Controls geplant oder bereits vorhanden sind"
d.h. es müssen nicht alle Maßnahmen bereits realisiert sein sondern auch eine Planung ist ausreichend? Wann und wie häufig ist eine Planung ausreichend für die Zertifizierung? oder müssen zum Auditzeitpunkt alle Maßnahmen bereits realisiert sein?

Wann macht es Sinn, Assetowner und Riskowner zu trennen?
Beim Prozess / Asset "KRN-KUN-PROJEKTANFRG" geht es um die Bearbeitung von Projektanfragen. Das würde ich originär beim Vertrieb sehen, aber da es am Ende durch die Kundenbetreuung durchgeführt wird, konkret durch den Bereich Projekte, würde ich das finale Risiko beim Bereich Projekte sehen, die Ownership aber beim Vertrieb.

NK4 NA4.2 - Verstehen der Erfordernisse und Erwartungen interessierter Parteien
verstehe ich es richtig, dass es hier nur um die Parteien geht, die Einfluss auf das ISMS meiner Organisation haben? Heißt das konkret, die meine Organisation vertraglich oder gesetzlich zu bestimmten Maßnahmen verpflichten oder dass diese Einfluss auf mein ISMS in dem bei sich bspw. Sicherheitsvorfälle auftreten könnten oder beides?