Risikomanagement ganz einfach erklärt

Ein Risikomanagement ist in jeder ISO-Norm mehr oder weniger verpflichtend durchzuführen.  Die Anforderungen zum Risikomanagement findet man im Kapitel 6 einer ISO-Norm. In diesem Beitrag werden wir das Thema anhand er ISO 31000 und ISO 27005 betrachten. Diese beiden ISO-Normen werden meist als Referenz angeführt. (ISO 27001:6, ISO 22301:6, ISO 20000-1:6, ISO 9001:6)


Risikodefinition

In der Literatur wird ein Risiko wie folgt definiert.

„Risiko = Wahrscheinlichkeit x Ausmaß“.

Allgemeine Definition nach der aktuell geltenden Literatur: Ist ein Risiko die Möglichkeit eines Schadens oder eines Verlustes als Konsequenz eines bestimmten Verhaltens oder Geschehens. Dies bezieht sich auf Gefahrensituationen, in denen nachteilige Folgen eintreten können, aber nicht müssen. Das Aussitzen oder Nichtbehandeln eines Risikos wird als Akzeptanz und Chance betrachtet. Die Wahrscheinlichkeit wird definiert durch eine Bedrohung, die auf eine bekannte Schwachstelle wirkt


Risiken identifizieren

 Alle Assets (Personen, IT-Komponente, Prozesse, Gebäude usw.) wurden durch die Ziele des Managementsystems klassifiziert. Das Risikomanagement nutzt dieselben Kriterien zur Einschätzung der Risikolage. Die Klassifizierung ist ein Teil des Asset-Management oder anderer Prozesse. Es werden unterschiedliche Stellen zur Bewertung von Bedrohungen und Schwachstellen verwendet. Diese folgenden Quellen können helfen:

  • BSI – G0 Katalog
  • Schwachstellen Meldungen (BSI)
  • Penetrationstests
  • Schwachstellen Scans
  • Externe Meldungen (Lieferanten, Kunden)
  • Prüfungen der Prozesse (Compliance)
  • Veränderung der Gesetze oder Verordnungen (Compliance)

Risiken analysieren

 In der Analyse Phase werden die gemeldeten Risiken hinsichtlich der Kriterien bzw. der Ziele des Managements bewertet. Diese Kriterien bzw. Ziele definieren die Tragweite (Schweregrad) des Risikos zusätzlich wird in der Analyse auch die Eintrittswahrscheinlichkeit ermittelt. 

Die Tragweite, sollten feste Geldwerte oder besser eine prozentuale Einschätzung zum Umsatz oder Gewinn definiert werden. 

Die Eintrittswahrscheinlichkeit, sollte auf Tage, Monate oder Jahre definiert werden.


Risiken Bewertung

 Durch die Einschätzung der Tragweite und Eintrittswahrscheinlichkeit wird das Risikolevel definiert. Je nach Risikolevel werden geeignete Maßnahmen getroffen. 


Risiko Maßnahmen

  • Reduktion – Es werden Maßnahmen ergriffen, um das identifizierte Risiko zu mindern
  • Vermeidung – Es wird zukünftig vermieden, die Tätigkeit durchzuführen, die zu diesem Risiko geführt hat.
  • Transfer oder Übertragung – Das Risiko wird auf eine andere Organisation übertragen, z. B.: durch Versicherungen oder Outsourcing.
  • Akzeptanz – Ein Risiko wird durch das Management akzeptiert. Diese Risiken können durch geeignete Kennzahlen überwacht werden.

Risiko Akzeptanz:

Die Akzeptanzkriterien und die jeweiligen Risiken müssen regelmäßig geprüft werden. Bei der Prüfung muss entscheiden werden, ob die getroffene Entscheidung sinnvoll und richtig war. 


Beiträge zum Thema Informationssicherheit

Unsere neusten Beiträge aus der Kategorie Informationssicherheit:

Schauen Sie sich auch unsere Beiträge nach Norm Kapiteln sortierte Übersicht an:


Unsere Dienstleistungen

Wir bieten für die folgenden Managementsysteme Dienstleistungen im Bereich der Beratung und Auditierung an.

Informationssicherheit: → ISO 27001, TISAX

Qualitätsmanagement: → ISO 9001

Compliance Management: → ISO 37301

Datenschutz: → DSGVO, ISO 27701

Business Continuity Management: → ISO 22301

IT-Service Management: → ISO 20000-1


Dokumentenvorlagen

Auf unserer Webseite ↗ IT-Richtlinien.de bietet wir Vorlagen für Managementsysteme an. Wir entwickeln die Vorlagen regelmäßig weiter um den Stand der Technik ab zu bilden. Wir überprüfen unsere Vorlagen nach Audits oder Beratungsprojekten. Unsere Vorlagen sind für Zertifizierungen geeignet.

easITy - Logo
Datenschutz-Übersicht

Diese Website verwendet Cookies, damit wir dir die bestmögliche Benutzererfahrung bieten können. Cookie-Informationen werden in deinem Browser gespeichert und führen Funktionen aus, wie das Wiedererkennen von Dir, wenn du auf unsere Website zurückkehrst, und hilft unserem Team zu verstehen, welche Abschnitte der Website für dich am interessantesten und nützlichsten sind.

Die Einwilligung zum setzen der Cookies wird nach dem Ablaufen der Session erneut angefragt.