PowerOn/wiki
3
0
Fork 0
Code Issues Pull requests Projects Releases Packages Wiki Activity Actions
wiki/e-compliance/Prozesse/legal/10_Schwachstellenmanagement.md
Stephan Schellworth 9f5f8bfc11 Add e-compliance processes and PowerOn AG documentation. 
Includes CACC/FINMA legal processes, updated AGB with PowerOn AG
stammdaten, and internal legal and best-practice analysis report.

Co-authored-by: Cursor <cursoragent@cursor.com>
2026-06-03 08:50:34 +02:00

53 lines
2.3 KiB
Markdown
Raw Blame History

# Schwachstellenmanagement
**Dokumenttyp:** Richtlinie & Prozess
**Geltungsbereich:** Alle für Kunden relevanten Systeme der PORTA-Plattform
**Version:** 1.0
**Status:** Entwurf zur internen Freigabe
**Owner:** Betrieb / Entwicklung
**Letzte Aktualisierung:** 02.06.2026
**Deckt ab (CACC):** 54, 59, 63, 84
---
## 1. Zweck
Kontinuierliche Identifizierung, Bewertung, Behandlung und Nachverfolgung von Schwachstellen in den für Kunden relevanten Systemen.
## 2. Identifizierungsmethoden (#63)
| Methode | Häufigkeit | Status |
|---|---|---|
| Automatisiertes Dependency-Scanning (Bibliotheken) | kontinuierlich | [ZU PRÜFEN: Dependabot/Scanner aktiv?] |
| Schwachstellen-Scan der Server/Endpunkte | [ZU PRÜFEN, Vorschlag: quartalsweise] | [ZU PRÜFEN] |
| Penetrationstest durch unabhängige Dritte | jährlich | **[ZU PRÜFEN: bisher durchgeführt? Sonst erstmalig planen]** |
| Interne Code-Reviews | pro Change | Umgesetzt (siehe Dok 08) |
## 3. Bewertung und Behandlung (#84)
1. **Dokumentation:** Jede Schwachstelle wird mit Quelle, betroffenem System und CVSS-Score erfasst.
2. **Bewertung:** Einstufung nach Kritikalität.
3. **Massnahme:** Behebung über Patch- (Dok 09) bzw. Change-Prozess (Dok 08), nach den dort definierten Fristen.
4. **Nachverfolgung:** Offene Schwachstellen werden bis zur Behebung in einem Register getrackt.
5. **Reporting:** Status mindestens quartalsweise intern; auf Anfrage für berechtigte Kunden/Prüfer einsehbar.
## 4. Unabhängige Audits (#54, #59)
Punkt #54/#59 verlangen regelmässige unabhängige Audits und die Bereitstellung **vollständiger Auditberichte** (nicht nur Zertifikate).
- **Aktuell:** [ZU PRÜFEN: Es liegen bisher keine externen Audit-/Pentest-Berichte vor.]
- **Massnahme:** Jährlichen externen Penetrationstest beauftragen; Bericht ablegen und berechtigten Kunden zugänglich machen. Behobene Schwachstellen dokumentieren.
## 5. Schwachstellen-Register (Vorlage)
| ID | Datum | System | Beschreibung | CVSS | Status | Behoben am |
|---|---|---|---|---|---|---|
| | | | | | | |
## 6. Stand der Umsetzung / Lücken
| Thema | Status | Massnahme |
|---|---|---|
| Externer Pentest | [ZU PRÜFEN / fehlt] | Jährlich beauftragen |
| Dependency-Scanning | [ZU PRÜFEN] | Aktivieren |
| Schwachstellen-Register | Neu | Anlegen |
Reference in a new issue View git blame Copy permalink