Sachgebiete / Anweisungen › Informationssicherheit
Verfahrensanweisung Penetrationstests und Red-Teaming
Planung und Durchführung von Penetrationstests und Red-Team-Übungen.
1. Geltungsbereich
Diese Anweisung regelt interne und externe Sicherheitstests an Anwendungen, Infrastruktur und Geschäftsprozessen.
2. Frequenzen
- Externe Pentests aller kritischen Anwendungen: jährlich
- Pentests interner Anwendungen: alle 24 Monate
- TIBRE-konformes Red-Teaming: alle 3 Jahre (DORA-Anforderung)
3. Beauftragung
Externe Anbieter werden anhand einer Whitelist ausgewählt. Verträge enthalten NDA, Verhaltensregeln und Beweissicherungspflicht.
4. Durchführung
Ein Test-Approver definiert Scope und Stop-Kriterien. Während des Tests gilt eine 24/7-Bereitschaft des CSIRT.
5. Berichtswesen
Findings werden im Schwachstellenmanagement aufgenommen. Die Geschäftsleitung erhält eine Zusammenfassung mit Ampelbewertung.
Merkur Privatbank · Organisationshandbuch