Funktionsweise der ergänzenden Sicherheitsanalyse
Die erweiterte Risikoanalyse wird auf Schutzobjekte mit hohem oder sehr hohem Schutzbedarf angewendet. Im Vordergrund steht die Frage: Welchen Gefährdungen wurden durch die Standardsicherheitsmassnahmen des IT-Grundschutzes noch nicht ausreichend oder sogar noch gar nicht Rechnung getragen? Zur Beantwortung dieser Frage empfiehlt sich, die Risikoanalyse auf der Basis von IT-Grundschutz durchzuführen, die wie nachstehend abgebildet anzuwenden ist.
Wichtig: Die Risikoanalyse auf der Basis von IT Grundschutz ist eine Vorgehensweise, um bei Bedarf IT Sicherheitsvorkehrungen zu ermitteln, die über die in den IT Grundschutzkatalogen genannten Massnahmen hinausgehen. Obwohl diese Methodik gegenüber vielen anderen ähnlichen Verfahren vereinfacht wurde, ist sie oft mit erheblichem Aufwand verbunden. Um schnellstmöglich die wichtigsten IT Sicherheitsprobleme zu beseitigen, ist es manchmal zweckmässig, zuerst IT Grundschutz umzusetzen und erst danach eine ergänzende Sicherheitsanalyse durchzuführen.