Wir nehmen Risiken den Schrecken – mit ISO 31000 konformer Methode DFN-CERT OCTAVE

Im Rahmen unserer ISO 27001 Zertifizierung haben wir das Risikomanagement nach DFN-CERT OCTAVE gemäß ISO 31000 vorgenommen.

Die Sicherheit ist neben der Verfügbarkeit und Integrität die Königsdisziplin seriösen Hostings. Premium-Hosting-Anbieter erkennen Sie folglich an einem umfassenden und effektiven Risikomanagement. Uptime IT setzt dazu auf ISO 31000 und die OCTAVE-Methodik (DFN-CERT) und erfüllt somit die höchsten Sicherheitsstandards. Einbezogen werden dabei nicht nur IT-spezifische Gefahren, wie etwa das Hacking oder technische Pannen. OCTAVE berücksichtigt alle theoretisch denkbaren Risiken. Dazu zählen auch nicht-technische Gefahren wie menschliches Versagen oder Katastrophenszenarien (z.B. Feuer, Erdbeben, Flugzeugabstürze) bzw. höhere Gewalt.

Darüber hinaus sind die Risikoanalyse und der Risikobehandlungsplan nach DFN-CERT OCTAVE Bestandteile unserer ISO-27001-Zertifizierung.

In Abstimmung mit den uns beratenden Experten führten wir die Risikoanalyse nach der OCTAVE-Methodik (Operational Critical Threat, Asset and Vulnerability Evaluation) durch. Diese wurde an der Carnegie Mellon University entwickelt und zeichnet sich durch ihre sauber strukturierte Vorgehensweise aus. Wir verwenden eine für ISO 27001 weiterentwickelte OCTAVE-Version vom DFN CERT (https://www.cert.dfn.de/). Dadurch bildet unsere Risikoanalyse zugleich die Basis für das Informationssicherheits-Managementsystem (ISMS).

DFN-CERT OCTAVE gliedert sich in 3 Phasen mit insgesamt 16 Aktivitäten:

  • Phase 1 (Organisation): Identifizierung der kritischen Werte und ihrer Bedrohungsprofile
  • Phase 2 (Technik): Identifizierung von Schlüsselkomponenten der IT-Infrastruktur und ihrer Schwachstellen
  • Phase 3 (Strategien & Pläne): Identifizierung und Bewertung der Risiken sowie Entwicklung einer Risikostrategie
  • OCTAVE liefert eine Matrix aller Assets und Risiken, die uns als Grundlage für den detaillierten Risikobehandlungsplan dient

Als Ergebnis lieferte OCTAVE eine klar strukturierte Matrix, die sowohl die Assets und die möglichen Risiken als auch die Bedrohungen, die auf die Assets und ihre Komponenten wirken, identifiziert. Für die anschließende Erstellung unseres detaillierten Risikobehandlungsplans wurden diese Daten mit möglichen Schäden und ihren jeweiligen Eintrittswahrscheinlichkeiten verknüpft und ausgewertet.

Für einen lückenlosen Schutz wird unsere Risiko-Matrix unterbrechungsfrei angewendet und fortlaufend weiterentwickelt. Im Falle von Veränderungen an unseren Systemen passen wir unser Risikomanagement automatisch an. Dieses wird quartalsweise im Rahmen von Reviews und einmal im Jahr bei den ISO-27001-Audits durch den TÜV überprüft.

Sollten Sie weitere Informationen zu OCTAVE wünschen, stellen wir Ihnen gerne einen Kontakt zu dem uns beratenden Unternehmen her.