Beskrivelse
Dokumentationstype der omfatter en beskrivelse af de konkrete sikkerhedsaktiviteter i organisationen. Laves typisk på organisationsniveau (EA) fremfor på løsningsniveau.
Rationale
Dokumentationen skal sikre, at der er veldefinerede aktiviteter, der skal sikre virksomhedens driftsmæssige kontinuitet og minimere afledte risici og tab ved misbrug af systemer og information.
Implikationer
Sikkerhedsaktiviteter kan være ‘bløde’ eller ‘hårde’ aktiviteter, dvs. knyttet til organisationen (medarbejdere og processer) eller til den tekniske it-understøttelse. Den tekniske del kan f.eks. omfatte:
- Konfiguration
- Kvalitetssikring af software
- Vedligeholdelse
- Hændelseshåndtering
- It-beredskab
- Styring af logning
- Sikkerhedsdokumentation
- Sikkerhedsprincipper i design
- Risikovurdering
- Tests
- Projektmodel.