Zum Hauptinhalt springen
CENEDRIL HANDBUCH
Zu Cenedril
ISMS-Assistent · Risikobehandlung

Anwendbarkeitserklärung (SoA) & Risikobehandlung

Aktualisiert am 3 Min. Pro-Abo-Stufe In Cenedril öffnen

Ziel Für jedes priorisierte Risiko eine Behandlungsoption festlegen, die passenden Annex-A-Kontrollen aktivieren und zuordnen und daraus die Anwendbarkeitserklärung (SoA) erzeugen.

Im ISMS-Assistenten behandeln Sie jedes priorisierte Risiko, indem Sie unter Risikobehandlung eine der vier Optionen wählen, auf der Seite Risikokontrollen die passenden Annex-A-Kontrollen aktivieren und den jeweiligen Szenarien zuordnen. Aus diesen Entscheidungen erzeugt Cenedril am Ende des Kapitels automatisch die Anwendbarkeitserklärung (SoA), die für jede der 93 Kontrollen festhält, ob sie anwendbar oder ausgeschlossen ist. Die SoA ist eines der verpflichtenden Audit-Dokumente und liegt anschließend als Aufzeichnung in der Dokumentation bereit.

Die Behandlungsoptionen durchgehen

Risikobehandlung öffnen

Öffnen Sie im ISMS-Assistenten das Kapitel Risikobehandlung. Die Einstiegsseite zeigt die vier Behandlungsoptionen: Vermeidung, Beibehaltung, Modifikation (Kontrollen) und Teilung. Der Assistent führt Sie über die folgenden Seiten nacheinander durch alle vier.

Die Einstiegsseite zeigt die vier Behandlungsoptionen Vermeidung, Beibehaltung, Modifikation und Teilung.

Vermeidung und Beibehaltung festlegen

Auf der Seite Risikovermeidung markieren Sie die Szenarien, deren verursachende Aktivität aufgegeben wird. Auf Risikobeibehaltung halten Sie fest, welche Risiken bereits auf akzeptablem Niveau liegen und bewusst getragen werden. Diese Szenarien sind danach von der Kontrollenseite ausgenommen.

Kontrollen aktivieren und zuordnen

Risikokontrollen öffnen

Wechseln Sie auf die Seite Risikokontrollen. Sie zeigt die 93 Kontrollen aus Anhang A, gruppiert nach den vier Themen Organisatorisch, Personell, Physisch und Technologisch. Vier Statistikkarten oben fassen den Stand zusammen: aktivierte Kontrollen, davon empfohlene sowie das am stärksten und das am schwächsten abgedeckte Szenario.

Die Statistikkarten zeigen unter anderem das am schwächsten abgedeckte Szenario, ein guter Einstiegspunkt in die Arbeit.

Empfohlene Kontrollen zuerst bearbeiten

Aktivieren Sie den Filter Nur empfohlene anzeigen, um zunächst die Kontrollen zu sehen, die Cenedril aus Ihren Szenarien ableitet. Empfohlene Kontrollen tragen einen orangefarbenen Hinweis Empfohlen. Über das Suchfeld und die Themen- sowie CIA-Filter (C, I, A) grenzen Sie die Liste weiter ein.

Eine Kontrolle aufklappen und aktivieren

Klicken Sie auf eine Kontrolle, um sie aufzuklappen. Sie sehen die Kurzzusammenfassung, die behandelten Gefährdungen und die Durchführungskriterien. Schalten Sie den Schalter rechts um, um die Kontrolle zu aktivieren. Beim Aktivieren ordnet Cenedril die empfohlenen Szenarien automatisch vor.

Im aufgeklappten Zustand wählen Sie die Durchführungskriterien und ordnen der Kontrolle unter „Risiken zuordnen“ die abgedeckten Szenarien zu.

Durchführungskriterien wählen und Risiken zuordnen

Kreuzen Sie unter den Beschreibungsblöcken die Durchführungskriterien an, die Sie zusagen. Die Tiefe richtet sich nach dem Risikoniveau der abgedeckten Szenarien. Markieren Sie anschließend unter Risiken zuordnen jedes Szenario, das die Kontrolle abdeckt. Achten Sie darauf, dass jede aktivierte Kontrolle mindestens ein zugeordnetes Risiko trägt.

Ausschlüsse begründen und speichern

Für Kontrollen, die Sie nicht aktivieren, wählen Sie im Feld Ausschlussgrund eine Kategorie (etwa Nicht anwendbar, Ressourcenbeschränkungen oder Kompensierende Kontrolle vorhanden) und ergänzen bei Bedarf eine Begründung. Sichern Sie Ihre Arbeit über Als Entwurf speichern oder schließen Sie die Seite mit Speichern & Weiter ab.

Die Anwendbarkeitserklärung prüfen

Anwendbarkeitserklärung öffnen

Am Ende des Kapitels öffnet sich die Seite Anwendbarkeitserklärung (SoA). Sie ist nur lesbar und wird automatisch aus Ihren Kontrollentscheidungen erzeugt. Zwei Zähler oben zeigen, wie viele Kontrollen Anwendbar und wie viele Nicht anwendbar sind.

Die SoA listet jede Annex-A-Kontrolle mit Status, zugeordneten Risiken, ausgeschlossenen Kriterien und Ausschlussgrund.

Tabelle und Ausschlüsse kontrollieren

Die Tabelle zeigt je Kontrolle die Spalten Annex A, Name, Status, Zugeordnete Risiken, Ausgeschl. Kriterien und Ausschlussgrund. Über die Filter Alle, Anwendbar und Nicht anwendbar prüfen Sie gezielt, ob jede anwendbare Kontrolle ein zugeordnetes Risiko hat und jede ausgeschlossene einen Grund trägt. Ein Klick auf das Kontroll-Symbol öffnet die Detailansicht.

Die SoA selbst liegt als Aufzeichnung unter Dokumentation und kann dort versioniert und formal genehmigt werden. Ohne eine genehmigte SoA gilt die Risikobehandlung aus Audit-Sicht als unvollständig.

Ergebnis: Jedes priorisierte Risiko trägt eine Behandlungsentscheidung, die anwendbaren Kontrollen sind aktiviert und ihren Szenarien zugeordnet, und die Anwendbarkeitserklärung führt alle 93 Kontrollen vollständig mit Status und Begründung. Das nächste Kapitel überführt diese Entscheidungen in Sicherheitsziele und einen Umsetzungsplan.

Häufige Fragen

Was sind die vier Behandlungsoptionen?

Vermeidung (die verursachende Aktivität aufgeben), Beibehaltung (ein bereits akzeptables Risiko bewusst tragen), Modifikation (Kontrollen anwenden, um Eintrittswahrscheinlichkeit oder Schadensausmass zu senken) und Teilung (einen Teil des Risikos über Versicherung, Outsourcing oder Vertrag an einen Dritten übertragen). Der Assistent führt durch alle vier nacheinander.

Muss ich jede der 93 Kontrollen einzeln entscheiden?

Cenedril markiert anhand der Szenarien aus den vorherigen Kapiteln empfohlene Kontrollen mit einem orangefarbenen „Empfohlen“-Hinweis. Über den Filter „Nur empfohlene anzeigen“ arbeiten Sie zuerst diese Auswahl durch. Die übrigen Kontrollen brauchen entweder eine Aktivierung oder einen Ausschlussgrund, damit die SoA vollständig wird.

Warum sollte jede aktivierte Kontrolle ein zugeordnetes Risiko haben?

Eine aktivierte Kontrolle ohne zugeordnetes Szenario erscheint in der Anwendbarkeitserklärung als Leerstelle, und der spätere Umsetzungsplan erfährt nicht, wofür sie Aufwand verursacht. Aktivieren Sie eine Kontrolle, ordnen Sie ihr deshalb mindestens ein Szenario in der Zuordnungsliste zu.

Kann ich die Anwendbarkeitserklärung selbst bearbeiten?

Die SoA-Seite im Assistenten ist nur lesbar. Cenedril generiert die Erklärung automatisch aus Ihren Kontrollentscheidungen. Das fertige Dokument liegt als Aufzeichnung unter Dokumentation, wo es versioniert und formal genehmigt werden kann.

Was passiert mit ausgeschlossenen Kontrollen?

Für jede nicht aktivierte Kontrolle wählen Sie einen Ausschlussgrund (etwa „Nicht anwendbar“, „Ressourcenbeschränkungen“ oder „Kompensierende Kontrolle vorhanden“) und können eine Begründung ergänzen. Diese Angaben erscheinen in der SoA in der Spalte „Ausschlussgrund“ und werden im Audit geprüft.

Informationssicherheit-Assistent

Sicherheitsziele & Umsetzung

So überführen Sie im ISMS-Assistenten Ihre Kontrollentscheidungen in einen Risikobehandlungsplan, definieren messbare Sicherheitsziele und arbeiten die Umsetzung ab.

Dokumentation & Register

Signaturanfrage versenden

So senden Sie in Cenedril ein Dokument zur rechtsgültigen elektronischen Unterschrift an eine Person und verfolgen den Status bis zum fertigen Nachweis.