PERF.6.1.2 — Schwachstellen

MUSS Security level: normal-SdT Effort 0 BSI-Methodik-Grundschutz-plus-plus

Sub-control of PERF.6.1

Statement (Anforderung)

Monitoring-Evaluation MUSS einen Umgang mit Schwachstellen festlegen.

Guidance (Erläuterung)

Dies sollte die systematische Identifikation, Bewertung, Behandlung und Nachverfolgung von Schwachstellen umfassen. Schwachstellen müssen systematisch erfasst, auf ihre sicherheitsrelevante Bedeutung geprüft und in die Risikobetrachtung des ISMS übernommen werden. Daraus abgeleitete Maßnahmen sind zu priorisieren, umzusetzen und im Rahmen des Monitorings und der Evaluierung regelmäßig auf ihre Wirksamkeit hin zu überprüfen sowie zu dokumentieren. Die gewonnenen Monitoring-Daten sollten systematisch ausgewertet und für verschiedene Zwecke genutzt werden, darunter die Erstellung von Kennzahlen und Berichten, die Früherkennung von Sicherheitsrisiken, die Unterstützung der Incident Response und die kontinuierliche Verbesserung des ISMS.

Statement properties

Name	Value
result	einen Umgang mit Schwachstellen
action_word	festlegen
modal_verb	MUSS

Control properties

Name	Value
alt-identifier	4f185314-4f6f-4539-b14e-d230c84ecd4d
sec_level	normal-SdT
effort_level	0

Raw OSCAL JSON (complete control)

{
  "class": "BSI-Methodik-Grundschutz-plus-plus",
  "id": "PERF.6.1.2",
  "parts": [
    {
      "id": "PERF.6.1.2_stm",
      "name": "statement",
      "props": [
        {
          "name": "result",
          "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv",
          "value": "einen Umgang mit Schwachstellen"
        },
        {
          "name": "action_word",
          "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv",
          "value": "festlegen"
        },
        {
          "name": "modal_verb",
          "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv",
          "value": "MUSS"
        }
      ],
      "prose": "Monitoring-Evaluation MUSS einen Umgang mit Schwachstellen festlegen."
    },
    {
      "id": "PERF.6.1.2_gdn",
      "name": "guidance",
      "prose": "Dies sollte die systematische Identifikation, Bewertung, Behandlung und Nachverfolgung von Schwachstellen umfassen. Schwachstellen müssen systematisch erfasst, auf ihre sicherheitsrelevante Bedeutung geprüft und in die Risikobetrachtung des ISMS übernommen werden. Daraus abgeleitete Maßnahmen sind zu priorisieren, umzusetzen und im Rahmen des Monitorings und der Evaluierung regelmäßig auf ihre Wirksamkeit hin zu überprüfen sowie zu dokumentieren. Die gewonnenen Monitoring-Daten sollten systematisch ausgewertet und für verschiedene Zwecke genutzt werden, darunter die Erstellung von Kennzahlen und Berichten, die Früherkennung von Sicherheitsrisiken, die Unterstützung der Incident Response und die kontinuierliche Verbesserung des ISMS."
    }
  ],
  "props": [
    {
      "name": "alt-identifier",
      "value": "4f185314-4f6f-4539-b14e-d230c84ecd4d"
    },
    {
      "name": "sec_level",
      "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv",
      "value": "normal-SdT"
    },
    {
      "name": "effort_level",
      "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv",
      "value": "0"
    }
  ],
  "title": "Schwachstellen"
}

View JSON API Download JSON