Neueste Beiträge
Archive
- Juli 2023
- April 2023
- März 2023
- Februar 2023
- Dezember 2022
- November 2022
- September 2022
- August 2022
- Juli 2022
- Juni 2022
- Mai 2022
- März 2022
- Januar 2022
- Dezember 2021
- November 2021
- Oktober 2021
- September 2021
- August 2021
- Juli 2021
- Juni 2021
- Mai 2021
- April 2021
- März 2021
- Februar 2021
- Januar 2021
- Dezember 2020
- November 2020
- Oktober 2020
- September 2020
- August 2020
- Juli 2020
- Juni 2020
- Mai 2020
- April 2020
- März 2020
- Februar 2020
- Januar 2020
- Dezember 2019
- November 2019
- Oktober 2019
- September 2019
- August 2019
- Juli 2019
- Juni 2019
- Mai 2019
- April 2019
- März 2019
- Februar 2019
- Januar 2019
- Dezember 2018
- November 2018
- Oktober 2018
- September 2018
- August 2018
- Juli 2018
- Juni 2018
- Mai 2018
- April 2018
- März 2018
- Februar 2018
- Januar 2018
- Dezember 2017
- November 2017
- Oktober 2017
- September 2017
- August 2017
- Juli 2017
- Juni 2017
- Mai 2017
- April 2017
- März 2017
- Februar 2017
- Januar 2017
- Dezember 2016
- November 2016
- Oktober 2016
- September 2016
- August 2016
- Juli 2016
- Juni 2016
- Mai 2016
- April 2016
- März 2016
- Februar 2016
- Januar 2016
- Dezember 2015
- November 2015
- Oktober 2015
- September 2015
- August 2015
- Juli 2015
- Juni 2015
- Mai 2015
- April 2015
- März 2015
- Februar 2015
- Januar 2015
- Dezember 2014
- November 2014
Risikobewertung (oft auch Risikoanalyse genannt) ist wahrscheinlich der komplexeste Teil der ISO 27001-Implementierung, doch ist die Risikobewertung (und Behandlung) gleichzeitig auch der wichtigste Schritt am Anfang Ihres Informationssicherheitsprojektes – sie legt die Grundlagen für die Informationssicherheit in Ihrem Unternehmen fest.
WARUM IST RISIKOBEWERTUNG SO WICHTIG?
Die Antwort ist ganz einfach, wenn sie auch von vielen Leuten nicht verstanden wird: die hauptsächliche Philosophie von ISO 27001 ist herauszufinden, welche Vorfälle auftreten könnten (d.h. das Risiko bewerten) und dann die geeignetsten Wege zu finden, solche Vorfälle zu vermeiden (d.h. das Risiko behandeln). Doch nicht nur das, Sie müssen auch die Wichtigkeit jedes Risikos beurteilen, damit Sie den Fokus auf die wichtigsten richten können.
Auch wenn die Risikobewertung und Risikobehandlung (zusammen: Risikomanagement) ein komplexer Job ist, werden sie oft unnötigerweise mystifiziert. Diese 6 grundlegenden Schritte werden beleuchten, was Sie zu tun haben:
1. RISIKOBEWERTUNGSMETHODIK
Dies ist der erste Schritt auf Ihrer Reise durch das Risikomanagement. Sie müssen Regeln dafür definieren, wie Sie das Risikomanagement durchführen werden, da Sie möchten, dass Ihre gesamte Organisation es auf die gleiche Art und Weise tut – das größte Problem mit der Risikobewertung entsteht, wenn verschiedene Teile der Organisation dies auf unterschiedliche Weise tun. Deshalb müssen Sie definieren, ob Sie eine qualitative oder eine quantitative Risikobewertung wollen, welche Maßstäbe Sie für die qualitative Bewertung verwenden werden, was das annehmbare Risiko sein wird, etc.
2. RISIKOBEWERTUNGS-IMPLEMENTIERUNG
Sobald Sie die Regeln kennen, können Sie damit beginnen herauszufinden, welche potentiellen Probleme Ihnen passieren könnten – Sie müssen alle Ihre Assets auflisten, danach die Bedrohungen und Schwachstellen im Zusammenhang mit diesen Assets, die Auswirkung und Wahrscheinlichkeit für jede Kombination von Assets/Bedrohungen/Schwachstellen beurteilen und schließlich den Risikolevel kalkulieren. Meiner Erfahrung nach sind den Unternehmen für gewöhnlich nur 30% ihrer Risiken bewusst. Sie werden daher vermutlich diese Art von Übung ziemlich aufschlussreich finden – wenn Sie fertig sind, werden Sie die Mühe, die Sie sich machten, zu schätzen wissen.
3. RISIKOBEHANDLUNGS-IMPLEMENTIERUNG
Natürlich sind nicht alle Risiken gleich gestaltet – Sie müssen sich auf die wichtigsten konzentrieren, die sogenannten ‘nicht annehmbaren Risiken’.
Es gibt vier Optionen zur Auswahl, um jedes nicht annehmbare Risiko zu entschärfen:
- Anwendung der Sicherheitskontrollen aus Anhang A zur Reduzierung der Risiken– s.a. Überblick über ISO 27001:2013 Anhang A.
- Risikoübertragung an andere Parteien – z.B. an eine Versicherung durch Erwerb einer Versicherungspolizze.
- Risikovermeidung durch Stoppen einer Aktivität, die zu riskant ist, oder durch Durchführung auf komplett andere Art.
- Risikoakzeptanz – wenn, zum Beispiel, die Kosten zur Entschärfung des Risikos höher wären als der Schaden selbst.
Das ist der Punkt, wo Sie kreativ werden müssen – wie kann das Risiko mit einem Minimum an Investition reduziert werden. Am einfachsten wäre es, wenn Ihr Budget unbegrenzt wäre, doch wird das niemals der Fall sein. Und ich muss Ihnen leider sagen, dass Ihr Management recht hat – es ist möglich, das gleiche Ergebnis mit weniger Geld zu erzielen – Sie müssen nur herausfinden, wie.
4. ISMS RISIKOBEWERTUNGSBERICHT
Im Gegensatz zu den vorherigen Schritten, ist dieser Schritt ziemlich langweilig – Sie müssen alles, was Sie bisher getan haben, dokumentieren. Nicht nur für die Auditoren, sondern Sie selbst könnten in ein oder zwei Jahren nachprüfen wollen.
5. ANWENDBARKEITSERKLÄRUNG
Dieses Dokument zeigt faktisch das Sicherheitsprofil Ihres Unternehmens – basierend auf den Ergebnissen der Risikobehandlung müssen Sie alle Kontrollen auflisten, die Sie implementiert haben, sowie warum und wie Sie diese implementierten. Dieses Dokument ist ebenfalls sehr wichtig, da die Zertifizierungs-Auditoren es als hauptsächlichen Leitfaden für den Audit verwenden werden.
Details zu diesem Dokument finden Sie in dem Artikel Die Bedeutung der Erklärung zur Anwendbarkeit für ISO 27001.
6. RISIKOBEHANDLUNGSPLAN
Dies ist der Schritt, in dem Sie von der Theorie zur Praxis wechseln. Offen gesagt – bis jetzt war der gesamte Risikomanagement-Job rein theoretisch, nun ist es aber an der Zeit, einige konkrete Ergebnisse zu zeigen.
Das ist der Zweck des Risikobehandlungsplans – genau zu definieren, wie jede Kontrolle implementieren wird, in welchem Zeitrahmen, mit welchem Budget, etc. Ich würde dieses Dokument lieber ‘Implementierungsplan’ oder ‘Aktionsplan’ nennen, aber bleiben wir bei der in ISO 27001 verwendeten Terminologie. Sobald Sie dieses Dokument erstellt haben, ist es unerlässlich, die Genehmigung Ihres Managements zu erhalten, da es ein beträchtliches Maß an Zeit und Aufwand (und Geld) kosten wird, alle Kontrollen, die Sie hier geplant haben, zu implementieren. Und ohne Zusage des Managements werden Sie nichts davon bekommen. Und das ist es – Sie haben Ihre Reise begonnen, als Sie nicht wussten, wie Ihre Informationssicherheit aufzusetzen ist und nun am Ende der Reise haben Sie ein klares Bild davon, was Sie implementieren müssen. Der springende Punkt ist – ISO 27001 zwingt Sie dazu, diese Reise auf systematische Art und Weise zu machen.
P.S. ISO 27005 -WIE KANN ES IHNEN HELFEN?
SO/IEC 27005 ist ein Standard, der ausschließlich dem Informationssicherheits-Risikomanagement gewidmet ist – er ist sehr hilfreich, wenn Sie einen tieferen Einblick in die Informationssicherheits-Risikobewertung und Risikobehandlung bekommen möchten – das heißt, wenn Sie als Berater oder vielleicht als Informationssicherheits-/Risiko-Manager auf permanenter Basis arbeiten wollen. Wenn Sie dahingegen nur vorhaben, einmal im Jahr eine Risikobewertung vorzunehmen, ist dieser Standard wahrscheinlich für Sie nicht notwendig.
Erfahren Sie mehr Details des Risikomanagement-Prozesses in diesem kostenlosen ISO 27001 Foundations Online Course.
Quelle: 27001Academy
Ähnliche Artikel
ISO 27018 Standard für...
Seit August letzten Jahres gibt es die neue ISO-Norm ISO/IEC 27018. Diese Erweiterung der...
- By Ingo Kaiser
- Datenschutz
Die ISO 27001 – Ein...
Für viele Unternehmen ist die ISO 27001 immer noch ein Buch mit sieben Siegeln. Wir...
- By Ingo Kaiser
- ISO 27001
ISO 27001 – Versionen...
Seit 1. Okt. 2013 ist der neue Standard ISO/IEC 27001:2013 verbindlich anzuwenden und...
- By Ingo Kaiser
- ISO 27001