Vermögensverwaltung
Die Daten, Mitarbeiter, Geräte, Systeme und Einrichtungen, die es der Organisation ermöglichen, ihre Geschäftsziele zu erreichen, werden entsprechend ihrer relativen Bedeutung für die Geschäftsziele und die Risikostrategie der Organisation ermittelt und verwaltet.

Inventarisierung der physischen Geräte und Systeme innerhalb der Organisation
Softwareplattformen und -anwendungen innerhalb der Organisation werden inventarisiert
Kommunikations- und Datenflüsse innerhalb der Organisation werden abgebildet
Externe Informationssysteme werden katalogisiert
Ressourcen (z.B. Hardware, Geräte, Daten und Software) werden nach ihrer Klassifizierung und ihrem Geschäftswert priorisiert
Die Aufgaben und Zuständigkeiten im Bereich der Cybersicherheit für alle Mitarbeiter und externen Beteiligten (z. B. Lieferanten, Kunden, Partner) sind festgelegt.

Wirtschaftliches Umfeld
Der Auftrag, die Ziele, die Interessengruppen und die Aktivitäten der Organisation werden verstanden und priorisiert; diese Informationen werden genutzt, um Entscheidungen über Rollen, Verantwortlichkeiten und Risikomanagement im Bereich der Cybersicherheit zu treffen.

Die Rolle der Organisation in der Lieferkette ist identifiziert und kommuniziert
Der Platz der Organisation in der kritischen Infrastruktur und im Wirtschaftssektor ist identifiziert und kommuniziert
Die Prioritäten für den Auftrag, die Ziele und die Aktivitäten der Organisation werden ermittelt und kommuniziert.
Die Abhängigkeiten und kritischen Funktionen für die Erbringung der kritischen Dienste werden ermittelt
Die Anforderungen an die Ausfallsicherheit zur Unterstützung der Erbringung kritischer Dienste werden ermittelt.

Governance
Die Richtlinien, Verfahren und Prozesse zur Verwaltung und Überwachung der regulatorischen, rechtlichen, risikorelevanten, ökologischen und betrieblichen Anforderungen der Organisation sind bekannt und bilden die Grundlage für das Risikomanagement im Bereich der Cybersicherheit.

Die Informationssicherheitspolitik der Organisation ist vorhanden.
Die Aufgaben und Zuständigkeiten im Bereich der Informationssicherheit werden koordiniert und mit internen Aufgaben und externen Partnern abgestimmt.
Die gesetzlichen und behördlichen Anforderungen an die Cybersicherheit, einschließlich der Verpflichtungen zum Schutz der Privatsphäre und der bürgerlichen Freiheiten, werden verstanden und berücksichtigt.
Governance- und Risikomanagement-Prozesse für Cybersicherheitsrisiken

Zugangskontrolle
Der Zugang zu Vermögenswerten und zugehörigen Einrichtungen ist auf autorisierte Benutzer, Prozesse oder Geräte sowie auf autorisierte Aktivitäten und Transaktionen beschränkt.

Identitäten und Berechtigungsnachweise werden für autorisierte Geräte und Benutzer verwaltet
Der physische Zugang zu Vermögenswerten wird verwaltet und geschützt
Fernzugriff wird verwaltet
Verwaltung der Zugriffsrechte unter Beachtung des Prinzips der geringsten Privilegien und der Aufgabentrennung
Die Integrität des Netzes ist geschützt, gegebenenfalls einschließlich der Netztrennung.

Bewusstseinsbildung
Die Mitarbeiter und Partner der Organisation erhalten Schulungen zur Cybersicherheit und sind angemessen geschult, um ihre mit der Informationssicherheit zusammenhängenden Aufgaben und Verantwortlichkeiten im Einklang mit den einschlägigen Richtlinien, Verfahren und Vereinbarungen wahrzunehmen.

Alle Nutzer werden informiert und geschult
Autorisierte Benutzer verstehen Rollen und Verantwortlichkeiten
Externe Stakeholder (z. B. Lieferanten, Kunden, Partner) verstehen Rollen und Verantwortlichkeiten
Leitende Angestellte verstehen Rollen und Verantwortlichkeiten
Das Personal für physische Sicherheit und Informationssicherheit kennt seine Aufgaben und Verantwortlichkeiten

Sicherheit der Daten
Informationen und Aufzeichnungen (Daten) werden im Einklang mit der Risikostrategie der Organisation verwaltet, um die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen zu schützen.

Ruhende Daten sind geschützt
Daten im Transit sind geschützt
Vermögenswerte werden bei der Veräußerung, Übertragung und Verwertung formal verwaltet
Ausreichende Kapazität wird aufrechterhalten, um die Verfügbarkeit zu gewährleisten
Schutzmaßnahmen gegen Datenverluste werden umgesetzt
Integritätskontrollmechanismen werden eingesetzt, um die Integrität von Software, Firmware und Informationen zu überprüfen.
Die Entwicklungs- und Testumgebung(en) sind von der Produktionsumgebung getrennt.

Prozess und Verfahren der Informationssicherheit
Prozesse und Verfahren für die Informationssicherheit (PR.IP): Sicherheitsrichtlinien (die Zweck, Umfang, Rollen, Verantwortlichkeiten, Engagement des Managements und Koordinierung zwischen den Organisationseinheiten umfassen), Prozesse und Verfahren werden beibehalten und eingesetzt, um den Schutz von Informationssystemen und -anlagen zu verwalten.

Eine Grundkonfiguration von Informationstechnologie/industriellen Kontrollsystemen wird eingerichtet und aufrechterhalten.
Es wird ein Systementwicklungszyklus für die Verwaltung von Systemen eingeführt.
Es gibt Kontrollprozesse für Konfigurationsänderungen.
Es werden Sicherungskopien von Informationen erstellt, gepflegt und regelmäßig getestet.
Die Richtlinien und Vorschriften bezüglich der physischen Betriebsumgebung der Organisation für Vermögenswerte werden eingehalten.
Daten werden gemäß den Richtlinien vernichtet
Sicherheitsprozesse werden kontinuierlich verbessert
Die Wirksamkeit der Schutztechnologien wird den zuständigen Stellen mitgeteilt Reaktionspläne (Incident Response und Business Continuity) und Wiederherstellungspläne (Incident Recovery und Disaster Recovery) sind vorhanden und werden verwaltet
Reaktions- und Wiederherstellungspläne werden getestet
Cybersicherheit wird in die Personalpolitik aufgenommen (z. B. Personalüberprüfung)
Ein Plan für das Management von Schwachstellen wird entwickelt und umgesetzt

Wartung
Wartung und Reparaturen von Komponenten industrieller Kontroll- und Informationssysteme werden in Übereinstimmung mit Richtlinien und Verfahren durchgeführt.

Die Wartung und Reparatur von Anlagen der Organisation wird unter Verwendung zugelassener und kontrollierter Werkzeuge rechtzeitig durchgeführt und aufgezeichnet.
Die Fernwartung von Unternehmensressourcen wird genehmigt, aufgezeichnet und in einer Weise durchgeführt, die unbefugten Zugriff verhindert.

Schutztechnik
Technische Sicherheitslösungen werden verwaltet, um die Sicherheit und Widerstandsfähigkeit von Systemen und Vermögenswerten in Übereinstimmung mit den entsprechenden Strategien, Verfahren und Vereinbarungen zu gewährleisten.

Audit-/Protokollaufzeichnungen werden in Übereinstimmung mit der Richtlinie festgelegt, dokumentiert, umgesetzt und überprüft.
Wechseldatenträger werden geschützt und ihre Nutzung gemäß den Richtlinien eingeschränkt
Der Zugang zu Systemen und Vermögenswerten wird nach dem Prinzip der geringsten Funktionalität kontrolliert.
Kommunikations- und Kontrollnetzwerke sind geschützt

Anomalien und Ereignisse
Anomalien werden rechtzeitig erkannt und die potenziellen Auswirkungen von Ereignissen werden verstanden.

Es wird eine Grundlage für den Netzbetrieb und den erwarteten Datenfluss für Nutzer und Systeme geschaffen und verwaltet.
Beobachtete Ereignisse werden analysiert, um Angriffsziele und -methoden zu verstehen
Ereignisdaten werden aus mehreren Quellen und Sensoren zusammengeführt und korreliert
Die Auswirkung von Ereignissen wird bestimmt und Schwellenwerte für Vorfallwarnungen werden festgelegt

Kontinuierliche Sicherheitsüberwachung
Das Informationssystem und die Anlagen werden in diskreten Abständen überwacht, um Cybersicherheitsvorfälle zu erkennen und die Wirksamkeit der Schutzmaßnahmen zu überprüfen.

Das Netz wird überwacht, um potenzielle Cybersicherheitsvorfälle zu erkennen.
Die physische Umgebung wird überwacht, um potenzielle Cybersicherheitsvorfälle zu erkennen.
Die Aktivitäten der Mitarbeiter werden überwacht, um potenzielle Cybersicherheitsvorfälle zu erkennen.
Bösartiger Code wird erkannt
Unerlaubter Handy-Code wird erkannt
Die Aktivitäten von externen Dienstleistern werden überwacht, um potenzielle Cybersicherheitsvorfälle zu erkennen.
Es wird auf unbefugtes Personal, unbefugte Verbindungen, unbefugte Geräte und unbefugte Software geprüft
Scans auf Schwachstellen werden durchgeführt

Detektionsverfahren
Die Erkennungsprozesse und -verfahren werden beibehalten und getestet, um ein rechtzeitiges und angemessenes Bewusstsein für anormale Ereignisse zu gewährleisten.

Planung der Reaktion
Reaktionsprozesse und -verfahren werden eingeführt und aufrechterhalten, um eine rechtzeitige Reaktion auf festgestellte Cybersicherheitsvorfälle zu gewährleisten.

Reaktionsplan wird während oder nach einem Ereignis umgesetzt

Kommunikation
Reaktionsmaßnahmen werden gegebenenfalls mit internen und externen Akteuren koordiniert, einschließlich externer Unterstützung durch Strafverfolgungsbehörden.

Die Mitarbeiter kennen ihre Rolle und die Abfolge der Maßnahmen, wenn eine Reaktion erforderlich ist
Ereignisse werden gemäß den festgelegten Kriterien gemeldet
Informationen werden gemäß den Reaktionsplänen weitergegeben
Die Koordinierung mit den Beteiligten erfolgt in Übereinstimmung mit den Reaktionsplänen
Freiwilliger Informationsaustausch mit externen Akteuren, um ein breiteres Situationsbewusstsein für Cybersicherheit zu erreichen

Analyse
Es werden Analysen durchgeführt, um eine angemessene Reaktion zu gewährleisten und Wiederherstellungsmaßnahmen zu unterstützen.

Meldungen von Detektionssystemen werden untersucht
Die Auswirkungen des Vorfalls sind bekannt
Forensische Untersuchungen werden durchgeführt
Vorfälle werden gemäß den Reaktionsplänen kategorisiert

Planung der Wiederherstellung
Wiederherstellungsprozesse und -verfahren werden eingeführt und aufrechterhalten, um eine rechtzeitige Wiederherstellung von Systemen oder Vermögenswerten zu gewährleisten, die von Cybersicherheitsvorfällen betroffen sind.

Der Wiederherstellungsplan wird während oder nach einem Ereignis umgesetzt

Verbesserungen
Die Wiederherstellungsplanung und -verfahren werden durch die Einbeziehung der gewonnenen Erkenntnisse in künftige Aktivitäten verbessert.

In den Wiederherstellungsplänen werden die gewonnenen Erkenntnisse berücksichtigt.
Wiederherstellungsstrategien werden aktualisiert

Kommunikation
Die Wiederherstellungsmaßnahmen werden mit internen und externen Parteien koordiniert, z. B. mit Koordinierungszentren, Internet-Diensteanbietern, Eigentümern der angegriffenen Systeme, Opfern, anderen CSIRTs und Anbietern.

Öffentlichkeitsarbeit wird gemanagt
Der Ruf nach dem Ereignis ist wiederhergestellt
Kommunikation der Wiederherstellungsmaßnahmen an die internen Interessengruppen sowie die Geschäftsleitung und das Managementteam