Vulnerability-Assessment Musterklauseln
Vulnerability-Assessment. Der Auftragnehmer ist verpflichtet, kontinuierlich Quellen für Sicherheitsempfehlungen zu sichten und diese in Bezug auf die an den Auftraggeber gelieferten Assets zu bewerten. Sollte eine Komponente von der Sicherheitslücke betroffen sein, wird von dem Auftragnehmer erwartet, die Einstufung der Kritikalität und die zeitliche“ Bewertung durchzuführen (siehe Hinweise in Abschnitt 10). Der Auftraggeber zeigt Verständnis dafür, dass die Informationen über die umliegende Infrastruktur oder andere einflussnehmende Umstände nicht vollständig sein können und dass das bestmögliche Ergebnis auf Basis des Wissens in dem Branchenumfeld des Auftragnehmers beruht. Es sind mit dem Aufragnehmer Kriterien für Schwachstellen zu vereinbaren, bei denen der Auftraggeber vom Auftragnehmer oder Hersteller informiert werden muss und wie dieses erfolgen sollte.
Vulnerability-Assessment. Der Auftragnehmer ist verpflichtet, kontinuierlich Quellen für Sicherheitsempfehlungen zu sichten und diese in Bezug auf die dem Auftraggeber zur Verfügung gestellten Assets zu bewerten. Sollte eine Komponente von der Sicherheitslücke betroffenen sein, wird von dem Auftragnehmer erwartet, die Einstufung der Kritikalität nach CVSS2/CVSS3 und die „zeitliche“ Bewertung durchzuführen. Es können mit dem Aufragnehmer weitere Kriterien für Schwachstellen vereinbart werden, bei denen der Auftraggeber vom Auftragnehmer oder Hersteller informiert werden muss und wie dieses erfolgen sollte.