PowerOn/wiki
3
0
Fork 0
Code Issues Pull requests Projects Releases Packages Wiki Activity Actions
wiki/e-compliance/Prozesse/legal/10_Schwachstellenmanagement.md
Stephan Schellworth 9f5f8bfc11 Add e-compliance processes and PowerOn AG documentation. 
Includes CACC/FINMA legal processes, updated AGB with PowerOn AG
stammdaten, and internal legal and best-practice analysis report.

Co-authored-by: Cursor <cursoragent@cursor.com>
2026-06-03 08:50:34 +02:00

2.3 KiB
Raw Blame History

Schwachstellenmanagement

Dokumenttyp: Richtlinie & Prozess Geltungsbereich: Alle für Kunden relevanten Systeme der PORTA-Plattform Version: 1.0 Status: Entwurf zur internen Freigabe Owner: Betrieb / Entwicklung Letzte Aktualisierung: 02.06.2026 Deckt ab (CACC): 54, 59, 63, 84

1. Zweck

Kontinuierliche Identifizierung, Bewertung, Behandlung und Nachverfolgung von Schwachstellen in den für Kunden relevanten Systemen.

2. Identifizierungsmethoden (#63)

Methode Häufigkeit Status
Automatisiertes Dependency-Scanning (Bibliotheken) kontinuierlich [ZU PRÜFEN: Dependabot/Scanner aktiv?]
Schwachstellen-Scan der Server/Endpunkte [ZU PRÜFEN, Vorschlag: quartalsweise] [ZU PRÜFEN]
Penetrationstest durch unabhängige Dritte jährlich [ZU PRÜFEN: bisher durchgeführt? Sonst erstmalig planen]
Interne Code-Reviews pro Change Umgesetzt (siehe Dok 08)

3. Bewertung und Behandlung (#84)

  1. Dokumentation: Jede Schwachstelle wird mit Quelle, betroffenem System und CVSS-Score erfasst.
  2. Bewertung: Einstufung nach Kritikalität.
  3. Massnahme: Behebung über Patch- (Dok 09) bzw. Change-Prozess (Dok 08), nach den dort definierten Fristen.
  4. Nachverfolgung: Offene Schwachstellen werden bis zur Behebung in einem Register getrackt.
  5. Reporting: Status mindestens quartalsweise intern; auf Anfrage für berechtigte Kunden/Prüfer einsehbar.

4. Unabhängige Audits (#54, #59)

Punkt #54/#59 verlangen regelmässige unabhängige Audits und die Bereitstellung vollständiger Auditberichte (nicht nur Zertifikate).

  • Aktuell: [ZU PRÜFEN: Es liegen bisher keine externen Audit-/Pentest-Berichte vor.]
  • Massnahme: Jährlichen externen Penetrationstest beauftragen; Bericht ablegen und berechtigten Kunden zugänglich machen. Behobene Schwachstellen dokumentieren.

5. Schwachstellen-Register (Vorlage)

ID Datum System Beschreibung CVSS Status Behoben am

6. Stand der Umsetzung / Lücken

Thema Status Massnahme
Externer Pentest [ZU PRÜFEN / fehlt] Jährlich beauftragen
Dependency-Scanning [ZU PRÜFEN] Aktivieren
Schwachstellen-Register Neu Anlegen