Verfahrensanweisung Schwachstellenmanagement Freigegeben v1
Inhalt
Identifikation, Bewertung und Behebung technischer Schwachstellen.
1. Quellen
Schwachstellen werden aus folgenden Quellen identifiziert: CVE/NVD, Hersteller-Bulletins, BSI-Warnungen, eigene Vulnerability-Scans, Pentests.
2. Bewertung
Jede Schwachstelle wird anhand CVSS-Score und Kontextfaktoren (Erreichbarkeit, Datenklassifikation, kompensierende Maßnahmen) bewertet.
3. SLA für Behebung
| Kritikalität | Frist |
|---|---|
| Kritisch | 72 Stunden |
| Hoch | 14 Tage |
| Mittel | 30 Tage |
| Niedrig | 90 Tage |
4. Ausnahmen
Lassen sich Patches nicht in der Frist umsetzen, sind kompensierende Maßnahmen zu definieren und der Risikoakzept des ISB einzuholen.
5. Reporting
Monatliches Reporting an die IT-Leitung und ISB inklusive Trendanalyse, offene Findings und Patch-Status.
Freigabe-Konfiguration
Noch keine Freigabegruppen angelegt.
Freigaben
Modus: VierAugen (Parallel)Keine Freigabegruppen konfiguriert. Siehe oben „Freigabe-Konfiguration".
Kenntnisnahmen
0 / 0 bestätigtKeine Kenntnisnahmen zugewiesen.
Berechtigungen
Keine expliziten Berechtigungen zugewiesen.
Versionen
-
v1Freigegeben 25.09.2025 00:00Andrea Lang„Freigabe erteilt"
Änderungsverlauf
-
FreigabeAbgeschlossen 24.09.2025 00:00Andrea Lang · Dokument freigegeben
-
FreigabeGestartet 22.09.2025 00:00Andrea Lang · 4-Augen-Freigabe gestartet
-
VersionAngelegt 18.09.2025 00:00Andrea Lang · Version 1
-
DokumentErstellt 18.09.2025 00:00Andrea Lang · Verfahrensanweisung Schwachstellenmanagement
Metadaten
- Kapitel
- Sachgebiete / Anweisungen › Informationssicherheit
- Verantwortlich
- Informationssicherheit
- Kategorie
- Verfahrensanweisung
- Schlagworte
-
schwachstellen cve patch vulnerability scan seed-pack-2
- Sichtbar ab
- 25.09.2025
- Sichtbar bis
- Unendlich
- Prüftermin
- 25.09.2026
- Erstellt
- 18.09.2025 · Andrea Lang
- Geändert
- 25.09.2025 00:00 · Andrea Lang
Anhänge (0)
Keine Anhänge.