Gefährdungsbeurteilung (Risk Assessment / Threat Assessment)

Die Gefährdungsbeurteilung ist eine systematische Analyse, bei der für ein IT-System oder eine Anwendung die relevanten Gefährdungen aus dem BSI-Gefährdungskatalog oder vergleichbaren Quellen identifiziert, nach Eintrittswahrscheinlichkeit und Schadensausmaß bewertet und in einer Risikoübersicht dokumentiert werden. Sie ist zentrales Instrument im BSI IT-Grundschutz-Prozess (BSI-Standard 200-3) und unterscheidet zwischen Basis-, Standard- und erhöhtem Schutzbedarf. In IT-Vergaben für sicherheitskritische Systeme kann der Auftraggeber eine vorläufige Gefährdungsbeurteilung als Kontextdokument bereitstellen oder den Auftragnehmer zur Durchführung und Dokumentation als Lieferdokument verpflichten.