53 lines
2.3 KiB
Markdown
53 lines
2.3 KiB
Markdown
# Schwachstellenmanagement
|
|
|
|
**Dokumenttyp:** Richtlinie & Prozess
|
|
**Geltungsbereich:** Alle für Kunden relevanten Systeme der PORTA-Plattform
|
|
**Version:** 1.0
|
|
**Status:** Entwurf zur internen Freigabe
|
|
**Owner:** Betrieb / Entwicklung
|
|
**Letzte Aktualisierung:** 02.06.2026
|
|
**Deckt ab (CACC):** 54, 59, 63, 84
|
|
|
|
---
|
|
|
|
## 1. Zweck
|
|
|
|
Kontinuierliche Identifizierung, Bewertung, Behandlung und Nachverfolgung von Schwachstellen in den für Kunden relevanten Systemen.
|
|
|
|
## 2. Identifizierungsmethoden (#63)
|
|
|
|
| Methode | Häufigkeit | Status |
|
|
|---|---|---|
|
|
| Automatisiertes Dependency-Scanning (Bibliotheken) | kontinuierlich | [ZU PRÜFEN: Dependabot/Scanner aktiv?] |
|
|
| Schwachstellen-Scan der Server/Endpunkte | [ZU PRÜFEN, Vorschlag: quartalsweise] | [ZU PRÜFEN] |
|
|
| Penetrationstest durch unabhängige Dritte | jährlich | **[ZU PRÜFEN: bisher durchgeführt? Sonst erstmalig planen]** |
|
|
| Interne Code-Reviews | pro Change | Umgesetzt (siehe Dok 08) |
|
|
|
|
## 3. Bewertung und Behandlung (#84)
|
|
|
|
1. **Dokumentation:** Jede Schwachstelle wird mit Quelle, betroffenem System und CVSS-Score erfasst.
|
|
2. **Bewertung:** Einstufung nach Kritikalität.
|
|
3. **Massnahme:** Behebung über Patch- (Dok 09) bzw. Change-Prozess (Dok 08), nach den dort definierten Fristen.
|
|
4. **Nachverfolgung:** Offene Schwachstellen werden bis zur Behebung in einem Register getrackt.
|
|
5. **Reporting:** Status mindestens quartalsweise intern; auf Anfrage für berechtigte Kunden/Prüfer einsehbar.
|
|
|
|
## 4. Unabhängige Audits (#54, #59)
|
|
|
|
Punkt #54/#59 verlangen regelmässige unabhängige Audits und die Bereitstellung **vollständiger Auditberichte** (nicht nur Zertifikate).
|
|
|
|
- **Aktuell:** [ZU PRÜFEN: Es liegen bisher keine externen Audit-/Pentest-Berichte vor.]
|
|
- **Massnahme:** Jährlichen externen Penetrationstest beauftragen; Bericht ablegen und berechtigten Kunden zugänglich machen. Behobene Schwachstellen dokumentieren.
|
|
|
|
## 5. Schwachstellen-Register (Vorlage)
|
|
|
|
| ID | Datum | System | Beschreibung | CVSS | Status | Behoben am |
|
|
|---|---|---|---|---|---|---|
|
|
| | | | | | | |
|
|
|
|
## 6. Stand der Umsetzung / Lücken
|
|
|
|
| Thema | Status | Massnahme |
|
|
|---|---|---|
|
|
| Externer Pentest | [ZU PRÜFEN / fehlt] | Jährlich beauftragen |
|
|
| Dependency-Scanning | [ZU PRÜFEN] | Aktivieren |
|
|
| Schwachstellen-Register | Neu | Anlegen |
|