Sachgebiete / Anweisungen › Informationssicherheit
Verfahrensanweisung Schwachstellenmanagement
Identifikation, Bewertung und Behebung technischer Schwachstellen.
1. Quellen
Schwachstellen werden aus folgenden Quellen identifiziert: CVE/NVD, Hersteller-Bulletins, BSI-Warnungen, eigene Vulnerability-Scans, Pentests.
2. Bewertung
Jede Schwachstelle wird anhand CVSS-Score und Kontextfaktoren (Erreichbarkeit, Datenklassifikation, kompensierende Maßnahmen) bewertet.
3. SLA für Behebung
| Kritikalität | Frist |
|---|---|
| Kritisch | 72 Stunden |
| Hoch | 14 Tage |
| Mittel | 30 Tage |
| Niedrig | 90 Tage |
4. Ausnahmen
Lassen sich Patches nicht in der Frist umsetzen, sind kompensierende Maßnahmen zu definieren und der Risikoakzept des ISB einzuholen.
5. Reporting
Monatliches Reporting an die IT-Leitung und ISB inklusive Trendanalyse, offene Findings und Patch-Status.
Merkur Privatbank · Organisationshandbuch