AI Governance→
Der Rahmen aus Richtlinien, Prozessen und Kontrollen, der den ethischen und sicheren Einsatz von Künstlicher Intelligenz in einer Organisation regelt, um rechtliche Risiken und Sicherheitslücken zu minimieren.
AICPA→
Das American Institute of Certified Public Accountants (AICPA) ist die weltweit größte Organisation für Wirtschaftsprüfer und der Urheber des SOC 2-Frameworks, einem der wichtigsten Sicherheitsstandards für Cloud-Anbieter.
Annex A (ISO 27001)→
Der Anhang der ISO 27001, der eine Liste von 93 spezifischen Informationssicherheits-Maßnahmen (Controls) enthält, die als Referenz für den Aufbau eines ISMS dienen.
Asset Owner→
Ein Asset Owner ist die Person oder Rolle innerhalb einer Organisation, die die Verantwortung für die Sicherheit, Klassifizierung und ordnungsgemäße Nutzung eines bestimmten Informationswertes (Assets) trägt.
Attestation of Compliance (AOC)→
Das Attestation of Compliance (AOC) ist ein formelles Dokument, das bestätigt, dass eine Organisation die Anforderungen eines spezifischen Sicherheitsstandards – meistens PCI DSS – erfolgreich erfüllt hat.
Audit Trail→
Ein Audit Trail ist eine chronologische Aufzeichnung von Aktivitäten zur Nachverfolgung von Änderungen und Zugriffen innerhalb eines Systems. Er hilft dabei, Datentransparenz zu gewährleisten und unterstützt bei der Einhaltung von Compliance-Vorgaben.
Auditor→
Ein Auditor ist ein unabhängiger Prüfer, der bewertet, ob die Prozesse, Systeme und Kontrollen eines Unternehmens den Anforderungen eines spezifischen Standards (wie ISO 27001 oder SOC 2) entsprechen.
Business Continuity Management (BCM)→
Business Continuity Management (BCM) ist ein ganzheitlicher Managementprozess, der sicherstellt, dass kritische Geschäftsprozesse auch bei schwerwiegenden Störungen oder Katastrophen aufrechterhalten oder zeitnah wiederhergestellt werden können.
Business Impact Analysis (BIA)→
Verfahren zur Bewertung der Zeitkritikalität von Geschäftsprozessen. Die BIA ermittelt den Impact von Ausfällen und definiert Wiederherstellungsziele (RTO/RPO).
Cloud Security Posture Management (CSPM)→
Überwacht und verbessert die Sicherheitslage in Cloud-Umgebungen.
Cloud Security Posture Management (CSPM)→
Überwacht und verbessert die Sicherheitslage in Cloud-Umgebungen.
Compliance Automation Software→
Eine Plattform, die den Prozess der Einhaltung regulatorischer Standards (z.B. ISO 27001, SOC 2) rationalisiert, indem sie das Sammeln von Nachweisen, die Überwachung von Kontrollen und das Reporting vereinfacht.
Compliance Management→
Prozess der Sicherstellung, dass eine Organisation alle relevanten Gesetze, Vorschriften und internen Richtlinien einhält, oft mithilfe von GRC-Plattformen.
Compliance Management→
Prozess der Sicherstellung, dass eine Organisation alle relevanten Gesetze, Vorschriften und internen Richtlinien einhält, oft mithilfe von GRC-Plattformen.
Compliance Risk Management→
Compliance Risk Management ist der Prozess zur Identifizierung, Bewertung und Minderung von Risiken, die durch die Nichteinhaltung von Gesetzen, regulatorischen Standards oder internen Richtlinien entstehen.
Continuous Monitoring→
Kontinuierliche Überwachung in ISMS/GRC.
Continuous Monitoring→
Kontinuierliche Überwachung in ISMS/GRC.
Control Self-Assessment (CSA) im GRC- und Audit-Kontext→
Ein Control Self-Assessment (CSA) ist ein Prozess, bei dem Organisationen ihre internen Kontrollen selbst bewerten, um Risiken zu identifizieren und die Effizienz der Kontrollen zu verbessern. Dies unterstützt die Einhaltung von Vorschriften und Standards.
Cyber Threat Hunting→
Proaktives Identifizieren von Cyber-Bedrohungen in IT-Systemen.
Cyber Threat Hunting→
Proaktives Identifizieren von Cyber-Bedrohungen in IT-Systemen.
Cybersecurity→
Cybersecurity (Informationssicherheit im digitalen Raum) umfasst alle Technologien, Prozesse und Praktiken, die darauf ausgelegt sind, Netzwerke, Geräte, Programme und Daten vor Angriffen, Schäden oder unbefugtem Zugriff zu schützen.
Data Governance→
Regelung der Datenverwaltung und -nutzung innerhalb eines Unternehmens.
Data Governance→
Regelung der Datenverwaltung und -nutzung innerhalb eines Unternehmens.
Data Loss Prevention (DLP)→
Data Loss Prevention (DLP) bezeichnet Strategien und Tools, die verwendet werden, um vor Verlust, Diebstahl oder unbefugtem Zugriff auf sensible Daten zu schützen. DLP ist ein wesentlicher Bestandteil von Informationssicherheits-Managementsystemen (ISMS) und Governance, Risk & Compliance (GRC) Plattformen.
Data Loss Prevention (DLP)→
Data Loss Prevention (DLP) bezeichnet Strategien und Tools, die verwendet werden, um vor Verlust, Diebstahl oder unbefugtem Zugriff auf sensible Daten zu schützen. DLP ist ein wesentlicher Bestandteil von Informationssicherheits-Managementsystemen (ISMS) und Governance, Risk & Compliance (GRC) Plattformen.
Daten-Souveränität→
Das Prinzip, dass Daten den Gesetzen und Regeln des Landes unterliegen, in dem sie erhoben werden.
Daten-Souveränität→
Das Prinzip, dass Daten den Gesetzen und Regeln des Landes unterliegen, in dem sie erhoben werden.
Datenverschlüsselung→
Verfahren zur Absicherung von Daten durch Umwandlung in unleserlichen Code.
Datenverschlüsselung→
Verfahren zur Absicherung von Daten durch Umwandlung in unleserlichen Code.
Digital Forensics→
Untersuchung digitaler Beweise zur Unterstützung der Informationssicherheit.
Digital Forensics→
Untersuchung digitaler Beweise zur Unterstützung der Informationssicherheit.
EU AI Act→
Die KI-Verordnung der Europäischen Union, die harmonisierte Regeln für das Inverkehrbringen, die Inbetriebnahme und die Nutzung von Systemen der Künstlichen Intelligenz festlegt, basierend auf deren Risikopotenzial.
Evidence (Nachweis)→
Evidence (Nachweis oder Evidenz) umfasst alle Dokumente, Logs, Screenshots oder Konfigurationsdaten, die einem Auditor beweisen, dass eine definierte Sicherheitskontrolle (Control) tatsächlich implementiert ist und funktioniert.
Identity & Access Management (IAM)→
Ein Rahmenwerk aus Richtlinien und Technologien, das sicherstellt, dass die richtigen Personen zur richtigen Zeit aus den richtigen Gründen Zugriff auf die richtigen technologischen Assets haben.
Incident Response→
Incident Response (Reaktion auf Vorfälle) ist der strukturierte Prozess, mit dem eine Organisation auf Sicherheitsvorfälle, Datenpannen oder Cyberangriffe reagiert, um den Schaden zu begrenzen und die Betriebsfähigkeit schnellstmöglich wiederherzustellen.
Integrated Risk Management (IRM)→
Ganzheitlicher Ansatz zur Verwaltung von Risiken in ISMS, GRC-Plattformen und Audits.
Internal Audit Plan→
Ein Internal Audit Plan ist ein strukturierter Leitfaden zur Durchführung interner Audits in einer Organisation. Er beschreibt Ziele, Umfang, Methoden und Zeitpläne, um Risiken zu bewerten und die Effektivität von Kontrollen zu prüfen.
Kontinuierliches Auditing→
Kontinuierliches Auditing ist ein Prozess zur kontinuierlichen Bewertung von Finanzinformationen und Kontrollprozessen. Ziel ist es, zeitnahe Auditergebnisse bereitzustellen, die Risiken minimieren und die Compliance sichern.
Kontinuierliches Auditing→
Kontinuierliches Auditing ist ein Prozess zur kontinuierlichen Bewertung von Finanzinformationen und Kontrollprozessen. Ziel ist es, zeitnahe Auditergebnisse bereitzustellen, die Risiken minimieren und die Compliance sichern.
Lieferkettenmanagement→
Lieferkettenmanagement im GRC-Kontext überwacht und steuert Risiken entlang der Lieferkette, um Sicherheit und Compliance sicherzustellen.
Lieferkettenmanagement→
Lieferkettenmanagement im GRC-Kontext überwacht und steuert Risiken entlang der Lieferkette, um Sicherheit und Compliance sicherzustellen.
Penetration Testing (Pentest)→
Ein autorisierter, simulierter Cyberangriff auf ein Computersystem, um Sicherheitslücken in der Infrastruktur, den Anwendungen oder Prozessen zu identifizieren und zu bewerten.
Privileged Access Management (PAM)→
Verwaltung und Schutz von privilegierten Benutzerzugängen.
Privileged Access Management (PAM)→
Verwaltung und Schutz von privilegierten Benutzerzugängen.
RTO & RPO→
Zentrale Kennzahlen im BCM: Das RTO (Recovery Time Objective) definiert die maximale Zeit bis zur Wiederherstellung, das RPO (Recovery Point Objective) den maximal tolerierbaren Datenverlust.
Relationship-Based Access Control (ReBAC)→
Ein Autorisierungsmodell, das Zugriffsrechte basierend auf den Beziehungen zwischen Identitäten und Ressourcen definiert. Im AI ist ReBAC essenziell, um sicherzustellen, dass KI-Modelle nur auf Daten zugreifen, die im spezifischen Kontext sind.
Risikoanalyse→
Risikoanalyse ist der Prozess der Identifikation, Bewertung und Priorisierung von Risiken zur Minimierung ihrer Auswirkungen auf ein Unternehmen.
Risikoanalyse→
Risikoanalyse ist der Prozess der Identifikation, Bewertung und Priorisierung von Risiken zur Minimierung ihrer Auswirkungen auf ein Unternehmen.
Risk Register→
Ein Dokument zur Identifizierung und Bewertung von Risiken in ISMS/GRC.
Risk Register→
Ein Dokument zur Identifizierung und Bewertung von Risiken in ISMS/GRC.
Risk-Based Auditing im GRC-Kontext→
Risk-Based Auditing ist ein Ansatz, der sich auf die Risiken konzentriert, die die Erreichung der Unternehmensziele beeinträchtigen könnten. Er priorisiert Prüfprozesse basierend auf dem potenziellen Einfluss von Risiken.
Role-Based Access Control (RBAC)→
Ein Verfahren zur Zugriffskontrolle, bei dem Berechtigungen an vordefinierte Rollen (z.B. "Admin", "HR-Manager") geknüpft werden, anstatt sie einzelnen Benutzern individuell zuzuweisen.
Security Information and Event Management (SIEM)→
Sicherheitsinformationen und Ereignisverwaltung zur Bedrohungserkennung und -überwachung.
Security Information and Event Management (SIEM)→
Sicherheitsinformationen und Ereignisverwaltung zur Bedrohungserkennung und -überwachung.
Security Operations Center (SOC)→
Ein Sicherheitsüberwachungszentrum zur Erkennung und Reaktion auf Bedrohungen.
Security Orchestration, Automation, and Response (SOAR)→
Integration von Sicherheitsmaßnahmen zur Automatisierung und Reaktion.
Security Orchestration, Automation, and Response (SOAR)→
Integration von Sicherheitsmaßnahmen zur Automatisierung und Reaktion.
Shadow AI (Schatten-KI)→
Die Nutzung von Anwendungen oder Tools der KI innerhalb einer Organisation ohne explizite Genehmigung, Überprüfung oder Überwachung durch die IT-Abteilung oder das Sicherheitsmanagement.
Statement of Applicability (SoA)→
Die Anwendbarkeitserklärung (SoA) dokumentiert, welche Maßnahmen aus dem Annex A für ein Unternehmen relevant sind und wie diese umgesetzt wurden – oder warum sie ausgeschlossen wurden.
Third-Party Risk Management (TPRM)→
Verwaltung von Risiken, die durch Drittanbieter entstehen.
Threat Intelligence→
Threat Intelligence ist die Sammlung und Analyse von Informationen zur Erkennung und Abwehr von Cyberbedrohungen.
Threat Intelligence→
Threat Intelligence ist die Sammlung und Analyse von Informationen zur Erkennung und Abwehr von Cyberbedrohungen.
Trust Services Criteria (TSC)→
Die Trust Services Criteria sind die vom AICPA definierten Kontrollprinzipien, nach denen ein SOC 2-Bericht erstellt wird. Sie umfassen die Bereiche Sicherheit, Verfügbarkeit, Prozessintegrität, Vertraulichkeit und Datenschutz.