Formelle Risikobewertungen werden jährlich und bei jeder Änderung von Informationssystemen durchgeführt, um die Wahrscheinlichkeit und die Auswirkungen aller ermittelten Risiken festzustellen. Die Wahrscheinlichkeit und die Auswirkungen der inhärenten Risiken und der Restrisiken werden unabhängig voneinander bestimmt, wobei alle Risikokategorien auf der Grundlage von Prüfungsergebnissen, Bedrohungs- und Schwachstellenanalysen und der Einhaltung von Vorschriften berücksichtigt werden.
Die Ergebnisse der Risikobewertung können Aktualisierungen der Sicherheitsrichtlinien, -verfahren, -standards und -kontrollen beinhalten, um sicherzustellen, dass diese weiterhin relevant und effektiv sind.
Die Ergebnisse von Risikobewertungen werden:
- der Geschäftsführung berichtet, die sich dann an einem Risikobehandlungsverfahren beteiligt
- in einem Risikoverzeichnis aktualisiert
- basierend auf den möglichen Auswirkungen auf Produktionssysteme priorisiert
CC3.1, CC3.3
4.2.1 a, 4.2(b), 4.3(a,b,c), 4.4, 5.1(c,d,e,f,g,h), 5.2, 5.2(e,f), 5.3, 6.1.1, 6.1.1(e)(2), 6.1.2, 6.1.2(a)(1,2), 6.1.2(b), 6.1.2(c), 6.1.2(c)(1,2), 6.1.2(d), 6.1.2(d)(1,2,3), 6.1.2(e), 6.1.2(e)(1,2), 6.1.3, 6.1.3(a,b), 6.2, 6.2(a,d,e), 6.12(a)(2), 7.1, 7.2(a,b,c), 8.1, 9.3(a), 9.3(b), 9.3(b)(f), 9.3(x), 9.3(c)(1)