high
must
TLPT-Scope, Methodik und Sicherheitssteuerung festlegen
Fuer TLPT muessen Scope, Methodik, Kontrollteam, Sicherheitsvorkehrungen, Daten- und Betriebsrisiken sowie Einbindung relevanter Dritter gesteuert werden.
Sparkassen-Relevanz
hoch fuer Informationssicherheit, IT-Betrieb, Notfallmanagement, Datenschutz, Dienstleistersteuerung und Krisenorganisation
EZB-Relevanz
hoch, weil TLPT auf reale Angriffsszenarien, kritische Funktionen und belastbare Governance abzielt
Moegliche Prueffragen
- Sind Scope, Ziele, kritische Funktionen und ausgeschlossene Bereiche nachvollziehbar begruendet?
- Sind Kontrollteam, White-Team-/Control-Team-Rollen und Eskalationswege definiert?
- Sind Datenschutz, Produktivbetrieb, Vertraulichkeit und Notfallabbruch geregelt?
- Sind Dienstleister und Verbundpartner im Scope koordiniert?
Nachweise
- TLPT-Projektauftrag
- Scope-Dokument
- Testmethodik
- Kontrollteam-RACI
- Risk-Acceptance- und Notfallabbruchregeln
- Dienstleisterfreigaben
Abgeleitete Handlungen
- TLPT-Governance und Kontrollteam-Rollen definieren
- Standard-Scope und Methodik fuer TLPT-Projekte vorbereiten
- Sicherheits-, Datenschutz- und Betriebsfreigaben fuer TLPT regeln