Risikomanagement ganz einfach erklärt

Ein Risikomanagement ist in jeder ISO-Norm mehr oder weniger verpflichtend durchzuführen.  Die Anforderungen zum Risikomanagement findet man im Kapitel 6 einer ISO-Norm. In diesem Beitrag werden wir das Thema anhand er ISO 31000 und ISO 27005 betrachten. Diese beiden ISO-Normen werden meist als Referenz angeführt. (ISO 27001:6, ISO 22301:6, ISO 20000-1:6, ISO 9001:6)

---

Risikodefinition

In der Literatur wird ein Risiko wie folgt definiert.

„Risiko = Wahrscheinlichkeit x Ausmaß“.

Allgemeine Definition nach der aktuell geltenden Literatur: Ist ein Risiko die Möglichkeit eines Schadens oder eines Verlustes als Konsequenz eines bestimmten Verhaltens oder Geschehens. Dies bezieht sich auf Gefahrensituationen, in denen nachteilige Folgen eintreten können, aber nicht müssen. Das Aussitzen oder Nichtbehandeln eines Risikos wird als Akzeptanz und Chance betrachtet. Die Wahrscheinlichkeit wird definiert durch eine Bedrohung, die auf eine bekannte Schwachstelle wirkt

---

Risiken identifizieren

 Alle Assets (Personen, IT-Komponente, Prozesse, Gebäude usw.) wurden durch die Ziele des Managementsystems klassifiziert. Das Risikomanagement nutzt dieselben Kriterien zur Einschätzung der Risikolage. Die Klassifizierung ist ein Teil des Asset-Management oder anderer Prozesse. Es werden unterschiedliche Stellen zur Bewertung von Bedrohungen und Schwachstellen verwendet. Diese folgenden Quellen können helfen:

• BSI – G0 Katalog
• Schwachstellen Meldungen (BSI)
• Penetrationstests
• Schwachstellen Scans
• Externe Meldungen (Lieferanten, Kunden)
• Prüfungen der Prozesse (Compliance)
• Veränderung der Gesetze oder Verordnungen (Compliance)

---

Risiken analysieren

 In der Analyse Phase werden die gemeldeten Risiken hinsichtlich der Kriterien bzw. der Ziele des Managements bewertet. Diese Kriterien bzw. Ziele definieren die Tragweite (Schweregrad) des Risikos zusätzlich wird in der Analyse auch die Eintrittswahrscheinlichkeit ermittelt. 

Die Tragweite, sollten feste Geldwerte oder besser eine prozentuale Einschätzung zum Umsatz oder Gewinn definiert werden. 

Die Eintrittswahrscheinlichkeit, sollte auf Tage, Monate oder Jahre definiert werden.

---

Risiken Bewertung

 Durch die Einschätzung der Tragweite und Eintrittswahrscheinlichkeit wird das Risikolevel definiert. Je nach Risikolevel werden geeignete Maßnahmen getroffen. 

---

Risiko Maßnahmen

• Reduktion – Es werden Maßnahmen ergriffen, um das identifizierte Risiko zu mindern
• Vermeidung – Es wird zukünftig vermieden, die Tätigkeit durchzuführen, die zu diesem Risiko geführt hat.
• Transfer oder Übertragung – Das Risiko wird auf eine andere Organisation übertragen, z. B.: durch Versicherungen oder Outsourcing.
• Akzeptanz – Ein Risiko wird durch das Management akzeptiert. Diese Risiken können durch geeignete Kennzahlen überwacht werden.

---

Risiko Akzeptanz:

Die Akzeptanzkriterien und die jeweiligen Risiken müssen regelmäßig geprüft werden. Bei der Prüfung muss entscheiden werden, ob die getroffene Entscheidung sinnvoll und richtig war. 

---

Beiträge zum Thema Informationssicherheit

---

Unsere Dienstleistungen

Wir bieten für die folgenden Managementsysteme Dienstleistungen im Bereich der Beratung und Auditierung an.

---

Dokumentenvorlagen