风险管理
法律依据
§30(2) 第1项 BSIG – 风险分析和信息系统安全相关概念
信息安全政策
BAUER GROUP运营信息安全管理体系(ISMS),涵盖机密性、完整性、可用性和真实性的保护目标。信息安全政策由管理层每年审查和批准。
系统化风险分析
| 步骤 | 描述 | 周期 |
|---|---|---|
| 资产识别 | 记录所有关键系统、数据和流程 | 持续 |
| 威胁分析 | 识别相关威胁场景 | 每年 |
| 漏洞评估 | 技术和组织漏洞 | 每年 + 事件驱动 |
| 风险评估 | 可能性 × 影响 | 每年 |
| 风险处理 | 规避、减轻、转移、接受 | 评估后 |
风险处理选项
| 选项 | 描述 | 适用场景 |
|---|---|---|
| 规避 | 消除风险源 | 经济上可行时 |
| 减轻 | 技术/组织措施 | 标准做法 |
| 转移 | 保险、外包给合格供应商 | 针对残余风险 |
| 接受 | 有记录的自觉接受 | 仅限低残余风险,需管理层批准 |
资产清单
所有IT系统、组件和流程均记录在中央清单中:
- 服务器系统 – 物理和虚拟服务器,含位置、用途和责任人
- 网络组件 – 防火墙、交换机、路由器,含固件版本
- 应用程序 – 自研和第三方软件,含许可证和支持状态
- 数据资产 – 按保护需求分类(普通、高、极高)
- 云服务 – 外部服务,含提供商、位置和合同状态
标准导向
- ISO/IEC 27001:2022 – 信息安全管理体系
- BSI IT-Grundschutz – 风险分析方法框架
- 实施条例 (EU) 2024/2690 – NIS2详细技术要求