Open Source & SBOM Resilience
Patch- und Ausnahmemanagement
Sicherheitskritische Updates werden zeitnah bewertet. Abweichungen vom Standard-Patch-Zyklus werden begründet, befristet und mit kompensierenden Kontrollen überwacht.
Hinweis: Diese Seite ist eine Umsetzungshilfe und ersetzt keine Rechtsberatung oder verbindliche aufsichtsrechtliche Auslegung.
Management-Zusammenfassung
- Fünf Entscheidungstypen steuern das Patch-Management: Patch, Upgrade, Kompensierende Kontrolle, Risikoakzeptanz und Lieferanteneskalation.
- Jede Abweichung vom Standard-Patchzyklus wird im Decision Log dokumentiert und ist zeitlich befristet.
- Kompensierende Kontrollen werden regelmäßig auf Wirksamkeit geprüft — Nachweis im Evidence Pack.
Patch einspielen
Sicherheitsupdate wird gemäß Patch-SLA eingespielt.
Upgrade
Komponente wird auf neuere Hauptversion aktualisiert.
Kompensierende Kontrolle
Risiko wird durch zusätzliche Schutzmaßnahmen reduziert.
Befristete Risikoakzeptanz
Restrisiko wird für definierten Zeitraum akzeptiert. Erfordert Human Gate.
Lieferanteneskalation
Lieferant wird zur Bereitstellung eines Patches aufgefordert.
Entscheidungsmatrix
| Typ | Human Gate | Befristung | Dokumentation |
|---|---|---|---|
| Patch einspielen | Optional | SLA-basiert | Change Record |
| Upgrade | Optional | SLA-basiert | Change Record |
| Kompensierende Kontrolle | Optional | Max. 180 Tage | Decision Log |
| Befristete Risikoakzeptanz | Erforderlich | Max. 90 Tage | Decision Log |
| Lieferanteneskalation | Erforderlich | SLA-basiert | Decision Log |