Frage 1 · governance
Existiert eine schriftliche ISMS-Politik, die durch die Geschäftsleitung freigegeben ist?
Frage 2 · governance
Ist eine Person als Informationssicherheitsbeauftragter (ISB) benannt?
Frage 3 · risiko
Existiert ein Risiko-Register mit dokumentierten Bedrohungen?
Frage 4 · asset
Existiert ein vollständiges Asset-Register (Systeme, Software, Daten, Cloud)?
Frage 5 · asset
Werden TOMs (Technische und Organisatorische Maßnahmen) regelmäßig überprüft?
Frage 6 · incident
Existiert ein dokumentierter Incident-Response-Plan?
Frage 7 · incident
Werden Backups regelmäßig auf Restore-Fähigkeit getestet?
Frage 8 · incident
Existiert ein dokumentierter Patch-Management-Prozess?
Frage 9 · incident
Ist Multi-Faktor-Authentifizierung (MFA) Pflicht für Cloud-Dienste und Admin-Zugänge?
Frage 10 · lieferkette
Werden kritische Lieferanten auf Sicherheits-Niveau bewertet?
Frage 11 · governance
Werden Mitarbeiter regelmäßig zur Informationssicherheit geschult?
Frage 12 · governance
Hat die Geschäftsleitung NIS2-Pflichten verstanden und §38-BSIG-Schulung absolviert?
