ISO 27005: Unterschied zwischen den Versionen

Aus ISMS-Ratgeber WiKi
Zur Navigation springenZur Suche springen
KKeine Bearbeitungszusammenfassung
KKeine Bearbeitungszusammenfassung
 
Zeile 1: Zeile 1:
{{Entwurf}}
{{#seo:
{{#seo:
|title=Risikoanalyse nach ISO 27005
|title=Risikoanalyse nach ISO/IEC 27005 – Vorgehensmodell, Risikomatrix und Bewertungsskalen
|keywords=ISMS,BSI,IT-Grundschutz,Informationssicherheit,Risikomanagement,Risikoanalysen,ISO 27005
|keywords=ISO 27005,Risikoanalyse,ISMS,Risikomanagement,IT-Grundschutz,Informationssicherheit,Risikobewertung,Risikobehandlung
|description=Dieser Artikel beschreibt das Vorgehen zur Durchführung einer Risikoanalyse nach ISO 27005 "Informationssicherheit, Cybersicherheit und Datenschutz - Leitfaden zur Handhabung von Informationssicherheitsrisiken".
|description=Praxisorientierte Anleitung zur Risikoanalyse nach ISO 27005 inklusive Risikomatrix, Bewertungsskalen und Best Practices für ISMS.}}{{SHORTDESC:Risikoanalyse nach ISO/IEC 27005 – Vorgehensmodell, Risikomatrix und Bewertungsskalen.}}
}}
''Der vorliegende Artikel beschreibt ein praxisorientiertes Vorgehen zur Risikoanalyse nach ISO/IEC 27005 „Informationssicherheit, Cybersicherheit und Datenschutz Leitfaden zur Handhabung von Informationssicherheitsrisiken“. Der Standard unterstützt Organisationen dabei, Informationssicherheitsrisiken systematisch zu identifizieren, zu bewerten und geeignete Maßnahmen zur Risikobehandlung auszuwählen.''
Der vorliegende Artikel beschreibt das Vorgehen für eine Risikoanalyse nach ISO/IEC 27005 "Informationssicherheit, Cybersicherheit und Datenschutz - Leitfaden zur Handhabung von Informationssicherheitsrisiken".


== Einleitung ==
== Einleitung ==
Zeile 13: Zeile 11:


=== Ziel und Bedeutung des Risikomanagements ===
=== Ziel und Bedeutung des Risikomanagements ===
Das Ziel des Risikomanagements ist es, die Unsicherheiten zu identifizieren, zu bewerten und zu steuern, die Einfluss auf die Erreichung der Organisationsziele haben können. Die Bedeutung des Risikomanagements ergibt sich aus seiner Fähigkeit, folgende Vorteile zu bieten:
Das Risikomanagement nach ISO 27005 stellt sicher, dass Informationssicherheitsrisiken strukturiert erkannt, bewertet und behandelt werden. Wesentliche Ziele:


* '''Sicherstellung der Geschäftskontinuität''': Durch proaktives Identifizieren von Risiken und deren Behandlung können kritische Geschäftsprozesse aufrecht erhalten und potenzielle Schäden minimiert werden.
* '''Schutz der Geschäftsprozesse''' durch frühzeitige Identifikation kritischer Risiken.
* '''Schutz von Vermögenswerten''': Das umfasst Informationen, Reputation, physische Werte und das Personal.
* '''Reduktion von Unsicherheiten''' bei sicherheitsrelevanten Entscheidungen.
* '''Einhalten von Rechtsvorschriften''': Durch Risikomanagement werden Compliance-Anforderungen wie Datenschutzgrundverordnung (DSGVO) oder die Richtlinien der Internationalen Organisation für Normung (ISO) systematisch adressiert.
* '''Erfüllung regulatorischer Anforderungen''' (z. B. DSGVO, NIS2, ISO 27001).
* '''Optimierung von Ressourcen''': Ressourcen werden dort eingesetzt, wo sie am meisten benötigt werden, um Risiken effektiv zu steuern und Schäden zu verhindern.
* '''Optimierung der Sicherheitsinvestitionen''' durch risikobasierte Priorisierung.


=== Überblick über ISO 27005 ===
=== Überblick über ISO 27005 ===
ISO 27005 stellt einen internationalen Standard dar, der spezifische Richtlinien zum Risikomanagement innerhalb eines Informationssicherheitsmanagementsystems (ISMS) bietet. Sie ergänzt die ISO 27001 durch Bereitstellung von Anforderungen speziell für die Risikobewertung, -behandlung und -überwachung bezogen auf Informationssicherheit. Praktische Schritte nach ISO 27005 umfassen:
ISO 27005 beschreibt einen vollständigen Lebenszyklus des Risikomanagements innerhalb eines ISMS. Kernelemente:


* '''Anwendungsbereich und Zweck''': ISO 27005 unterstützt Organisationen beim Aufbau eines kontextabhängigen Rahmens für Risikomanagement, der die spezifischen Bedürfnisse bezüglich Informationssicherheit berücksichtigt.
* '''Kontextfestlegung''' (Scope, Kriterien, Stakeholder)
* '''Systematische Ansätze''': Der Standard empfiehlt systematische Ansätze zur Risikoidentifikation, -analyse, -bewertung und -behandlung, die darauf ausgerichtet sind, Sicherheitsbedrohungen und ihre potenziellen Auswirkungen zu verstehen.
* '''Risikoidentifikation''' (Bedrohungen, Schwachstellen, Auswirkungen)
* '''Integration in ISO 27001''': ISO 27005 ist so konzipiert, dass sie nahtlos in das ISMS nach ISO 27001 integriert werden kann, wodurch eine konsistente und umfassende Risikomanagementstrategie gewährleistet wird.
* '''Risikoanalyse''' (Wahrscheinlichkeit, Schadenshöhe)
* '''Flexibilität''': Der Standard lässt verschiedene Methoden der Risikoanalyse zu (qualitativ, quantitativ oder eine Kombination aus beidem), um verschiedenen organisatorischen Bedürfnissen und Umständen gerecht zu werden.
* '''Risikobewertung''' (Vergleich mit Kriterien, Priorisierung)
* '''Risikobehandlung''' (Maßnahmenauswahl und Umsetzung)
* '''Überwachung''' und Kommunikation als kontinuierliche Prozesse


== Vorgehen ==
== Vorgehen ==
Zeile 35: Zeile 35:


===== Abgrenzung des Informationsverbunds =====
===== Abgrenzung des Informationsverbunds =====
* Identifikation aller relevanten Assets (Informationen, Anwendungen, Infrastruktur, Personen, Dienstleister)
* Beschreibung der Systemgrenzen und Schnittstellen
* Dokumentation der Abhängigkeiten zwischen Assets und Geschäftsprozessen


===== Klärung der Schutzbedürfnisse =====
===== Klärung der Schutzbedürfnisse =====
* Bewertung der Anforderungen an Vertraulichkeit, Integrität und Verfügbarkeit
* Berücksichtigung gesetzlicher, vertraglicher und geschäftlicher Anforderungen
* Identifikation besonders schutzbedürftiger Informationen


==== Festlegung der Risikokriterien ====
==== Festlegung der Risikokriterien ====


===== Risikoakzeptanzschwellen =====
===== Risikoakzeptanzschwellen =====
* Definition akzeptabler Restrisiken
* Festlegung von Schwellenwerten für zwingende Maßnahmen
* Dokumentation der Entscheidungskompetenzen


===== Qualitative und quantitative Bewertungskriterien =====
===== Qualitative und quantitative Bewertungskriterien =====
* Skalen für Wahrscheinlichkeit (z. B. selten – häufig)
* Skalen für Auswirkungen (z. B. gering – kritisch)
* Bewertungsregeln (z. B. Risikomatrix, numerische Risikowerte)


==== Identifikation der Stakeholder ====
==== Identifikation der Stakeholder ====


===== Interne Stakeholder =====
===== Interne Stakeholder =====
* Geschäftsführung
* IT-Leitung
* Fachbereiche
* Datenschutz, Compliance, Revision


===== Externe Stakeholder =====
===== Externe Stakeholder =====
* Dienstleister
* Kunden
* Aufsichtsbehörden
* Partnerorganisationen


=== Risikoidentifikation ===
=== Risikoidentifikation ===
Zeile 55: Zeile 75:


===== Technische Bedrohungen =====
===== Technische Bedrohungen =====
* Malware, Ransomware
* Systemausfälle
* Netzwerkangriffe (DDoS, Man-in-the-Middle)


===== Physische Bedrohungen =====
===== Physische Bedrohungen =====
* Feuer, Wasser, Stromausfall
* Diebstahl, Vandalismus
* Umwelteinflüsse


===== Soziale Bedrohungen =====
===== Soziale Bedrohungen =====
* Social Engineering
* Insider-Bedrohungen
* Fehlbedienung


==== Identifikation von Schwachstellen ====
==== Identifikation von Schwachstellen ====


===== Technische Schwachstellen =====
===== Technische Schwachstellen =====
* Fehlkonfigurationen
* Veraltete Software
* Unzureichende Verschlüsselung


===== Organisatorische Schwachstellen =====
===== Organisatorische Schwachstellen =====
* Fehlende Prozesse
* Unklare Verantwortlichkeiten
* Unzureichende Schulungen


==== Bestimmung potenzieller Auswirkungen ====
==== Bestimmung potenzieller Auswirkungen ====


===== Finanzielle Auswirkungen =====
===== Finanzielle Auswirkungen =====
* Umsatzverluste
* Vertragsstrafen
* Wiederherstellungskosten


===== Reputationsbezogene Auswirkungen =====
===== Reputationsbezogene Auswirkungen =====
* Vertrauensverlust
* Negative Medienberichterstattung
* Kundenabwanderung


=== Risikoanalyse ===
=== Risikoanalyse ===
Zeile 77: Zeile 118:


===== Wahrscheinlichkeitsbewertung =====
===== Wahrscheinlichkeitsbewertung =====
* Einschätzung anhand historischer Daten, Brancheninformationen oder Expertenwissen


===== Ereignishäufigkeit =====
===== Ereignishäufigkeit =====
* Betrachtung der erwarteten Eintrittsfrequenz pro Jahr oder Zeitraum


==== Bewertung der Risikoauswirkungen ====
==== Bewertung der Risikoauswirkungen ====


===== Direkte Auswirkungen =====
===== Direkte Auswirkungen =====
* Datenverlust
* Systemausfall
* Produktionsunterbrechung


===== Indirekte Auswirkungen =====
===== Indirekte Auswirkungen =====
* Imageverlust
* Rechtsfolgen
* Langfristige Kundenverluste


==== Ermittlung des Gesamtrisikos ====
==== Ermittlung des Gesamtrisikos ====


===== Kombinierte Bewertung von Wahrscheinlichkeit und Auswirkungen =====
===== Kombinierte Bewertung von Wahrscheinlichkeit und Auswirkungen =====
* Nutzung einer Risikomatrix oder eines numerischen Risikowerts
* Dokumentation der Bewertungslogik


===== Priorisierung von Risiken =====
===== Priorisierung von Risiken =====
* Sortierung nach Risikohöhe
* Hervorhebung kritischer Risiken


=== Risikobewertung ===
=== Risikobewertung ===


==== Vergleich der Risiken mit den Risikokriterien ====
==== Vergleich der Risiken mit den Risikokriterien ====
* Identifikation von Risiken oberhalb der Akzeptanzschwelle
* Entscheidung über erforderliche Maßnahmen


==== Priorisierung der Risiken ====
==== Priorisierung der Risiken ====


===== Hochprioritäre Risiken =====
===== Hochprioritäre Risiken =====
* Sofortige Maßnahmen erforderlich


===== Mittelprioritäre Risiken =====
===== Mittelprioritäre Risiken =====
* Maßnahmen zeitnah einplanen


===== Niedrigprioritäre Risiken =====
===== Niedrigprioritäre Risiken =====
* Risiko akzeptabel, regelmäßige Überprüfung


=== Risikobehandlung ===
=== Risikobehandlung ===
Zeile 109: Zeile 167:


===== Risikovermeidung =====
===== Risikovermeidung =====
* Einstellung riskanter Aktivitäten
* Entfernung unsicherer Komponenten


===== Risikominderung =====
===== Risikominderung =====
* Technische und organisatorische Maßnahmen
* Härtung, Monitoring, Schulungen


===== Risikoüberwälzung =====
===== Risikoüberwälzung =====
* Versicherungen
* Outsourcing
* Vertragsklauseln


===== Risikoakzeptanz =====
===== Risikoakzeptanz =====
* Dokumentierte Entscheidung
* Nur bei niedrigen oder unvermeidbaren Risiken


==== Planung der Risikobehandlungsmaßnahmen ====
==== Planung der Risikobehandlungsmaßnahmen ====
* Erstellung eines Risikobehandlungsplans
* Definition von Verantwortlichkeiten, Ressourcen und Terminen


==== Implementierung der Risikobehandlungsstrategien ====
==== Implementierung der Risikobehandlungsstrategien ====
* Umsetzung der Maßnahmen
* Nachweisführung im ISMS


=== Überwachung und Überprüfung ===
=== Überwachung und Überprüfung ===


==== Regelmäßige Überprüfung der Risiken ====
==== Regelmäßige Überprüfung der Risiken ====
* Aktualisierung bei Änderungen im Informationsverbund
* Periodische Neubewertung


==== Anpassung der Risikobehandlungsmaßnahmen ====
==== Anpassung der Risikobehandlungsmaßnahmen ====
* Wirksamkeitskontrolle
* Anpassung an neue Bedrohungen oder Schwachstellen


=== Kommunikation und Konsultation ===
=== Kommunikation und Konsultation ===


==== Informationsaustausch mit den Stakeholdern ====
==== Informationsaustausch mit den Stakeholdern ====
* Regelmäßige Berichte an Management und Fachbereiche
* Transparente Darstellung der Risiken


==== Einbeziehung der Stakeholder in den Risikomanagementprozess ====
==== Einbeziehung der Stakeholder in den Risikomanagementprozess ====
* Workshops, Interviews, Reviews
* Förderung eines gemeinsamen Sicherheitsverständnisses


== Risikomatrix und Bewertungsskalen ==
=== Bewertungsskalen ===
==== Wahrscheinlichkeitsskala (qualitativ) ====
{| class="wikitable"
! Stufe !! Beschreibung
|-
| 1 – Selten || Ereignis ist unwahrscheinlich, aber möglich
|-
| 2 – Gelegentlich || Ereignis kann auftreten, aber nicht erwartbar oder regelmäßig
|-
| 3 – Wahrscheinlich || Ereignis tritt erwartbar und mit spürbarer Häufigkeit auf
|-
| 4 – Häufig || Ereignis tritt regelmäßig oder sehr wahrscheinlich auf
|}
==== Auswirkungsskala (qualitativ) ====
{| class="wikitable"
! Stufe !! Beschreibung
|-
| 1 – Gering || Kaum Auswirkungen auf Betrieb oder Daten.
|-
| 2 – Mittel || Kurzfristige Störungen, begrenzte Schäden, Behebung im Rahmen betrieblicher Prozesse möglich.
|-
| 3 – Hoch || Erhebliche Störungen, finanzielle oder rechtliche Folgen, Behebung erfodert zusätzliche Ressourcen.
|-
| 4 – Kritisch || Massive Auswirkungen, langfristige Schäden, regulatorische Risiken.
|}
=== Risikomatrix ===
{| class="wikitable" style="text-align:center; width:60%;"
! rowspan="2" style="vertical-align:middle;" | Wahrscheinlichkeit
! colspan="4" | Auswirkungen
|-
! 1 – Gering
! 2 – Mittel
! 3 – Hoch
! 4 – Kritisch
|-
| style="text-align:left;" | '''4 - Häufig'''
| style="background:#FFEB3B;" | '''Mittel'''
| style="background:#FF9800;" | '''Hoch'''
| style="background:#F44336; color:white;" | '''Kritisch'''
| style="background:#F44336; color:white;" | '''Kritisch'''
|-
| style="text-align:left;" | '''3 - Wahrscheinlich'''
| style="background:#FFEB3B;" | '''Mittel'''
| style="background:#FFEB3B;" | '''Mittel'''
| style="background:#FF9800;" | '''Hoch'''
| style="background:#F44336; color:white;" | '''Kritisch'''
|-
| style="text-align:left;" | '''2 - Gelegentlich'''
| style="background:#4CAF50; color:white;" | '''Niedrig'''
| style="background:#FFEB3B;" | '''Mittel'''
| style="background:#FFEB3B;" | '''Mittel'''
| style="background:#FF9800;" | '''Hoch'''
|-
| style="text-align:left;" | '''1 - Selten'''
| style="background:#4CAF50; color:white;" | '''Niedrig'''
| style="background:#4CAF50; color:white;" | '''Niedrig'''
| style="background:#FFEB3B;" | '''Mittel'''
| style="background:#FFEB3B;" | '''Mittel'''
|}
=== Interpretation ===
* '''Kritisch''': Sofortige Maßnahmen zwingend erforderlich 
* '''Hoch''': Maßnahmen kurzfristig einplanen 
* '''Mittel''': Maßnahmen mittelfristig umsetzen 
* '''Niedrig''': Risiko akzeptabel, regelmäßige Überprüfung 


[[Kategorie:Artikel]]
[[Kategorie:Artikel]]

Aktuelle Version vom 7. Mai 2026, 12:49 Uhr

Der vorliegende Artikel beschreibt ein praxisorientiertes Vorgehen zur Risikoanalyse nach ISO/IEC 27005 „Informationssicherheit, Cybersicherheit und Datenschutz – Leitfaden zur Handhabung von Informationssicherheitsrisiken“. Der Standard unterstützt Organisationen dabei, Informationssicherheitsrisiken systematisch zu identifizieren, zu bewerten und geeignete Maßnahmen zur Risikobehandlung auszuwählen.

Einleitung

ISO/IEC 27005 definiert ein Verfahren für das Informationssicherheitsrisikomanagement, das Organisationen anleitet, Risiken zu identifizieren, zu bewerten und geeignete Maßnahmen zur Risikobehandlung auszuwählen. Es ermöglicht die systematische Analyse von Bedrohungen und Schwachstellen sowie die Abschätzung der potenziellen Auswirkungen auf die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen. Der Standard fördert eine objektive Bewertung der Risiken und unterstützt die Integration des Risikomanagementprozesses in ein Informationssicherheitsmanagementsystem (ISMS), um die Informationssicherheit kontinuierlich zu verbessern.

Einführung in das Risikomanagement nach ISO 27005

Ziel und Bedeutung des Risikomanagements

Das Risikomanagement nach ISO 27005 stellt sicher, dass Informationssicherheitsrisiken strukturiert erkannt, bewertet und behandelt werden. Wesentliche Ziele:

  • Schutz der Geschäftsprozesse durch frühzeitige Identifikation kritischer Risiken.
  • Reduktion von Unsicherheiten bei sicherheitsrelevanten Entscheidungen.
  • Erfüllung regulatorischer Anforderungen (z. B. DSGVO, NIS2, ISO 27001).
  • Optimierung der Sicherheitsinvestitionen durch risikobasierte Priorisierung.

Überblick über ISO 27005

ISO 27005 beschreibt einen vollständigen Lebenszyklus des Risikomanagements innerhalb eines ISMS. Kernelemente:

  • Kontextfestlegung (Scope, Kriterien, Stakeholder)
  • Risikoidentifikation (Bedrohungen, Schwachstellen, Auswirkungen)
  • Risikoanalyse (Wahrscheinlichkeit, Schadenshöhe)
  • Risikobewertung (Vergleich mit Kriterien, Priorisierung)
  • Risikobehandlung (Maßnahmenauswahl und Umsetzung)
  • Überwachung und Kommunikation als kontinuierliche Prozesse

Vorgehen

Festlegung des Risikokontextes

Definition von Zielen und Umfang der Risikoanalyse

Abgrenzung des Informationsverbunds
  • Identifikation aller relevanten Assets (Informationen, Anwendungen, Infrastruktur, Personen, Dienstleister)
  • Beschreibung der Systemgrenzen und Schnittstellen
  • Dokumentation der Abhängigkeiten zwischen Assets und Geschäftsprozessen
Klärung der Schutzbedürfnisse
  • Bewertung der Anforderungen an Vertraulichkeit, Integrität und Verfügbarkeit
  • Berücksichtigung gesetzlicher, vertraglicher und geschäftlicher Anforderungen
  • Identifikation besonders schutzbedürftiger Informationen

Festlegung der Risikokriterien

Risikoakzeptanzschwellen
  • Definition akzeptabler Restrisiken
  • Festlegung von Schwellenwerten für zwingende Maßnahmen
  • Dokumentation der Entscheidungskompetenzen
Qualitative und quantitative Bewertungskriterien
  • Skalen für Wahrscheinlichkeit (z. B. selten – häufig)
  • Skalen für Auswirkungen (z. B. gering – kritisch)
  • Bewertungsregeln (z. B. Risikomatrix, numerische Risikowerte)

Identifikation der Stakeholder

Interne Stakeholder
  • Geschäftsführung
  • IT-Leitung
  • Fachbereiche
  • Datenschutz, Compliance, Revision
Externe Stakeholder
  • Dienstleister
  • Kunden
  • Aufsichtsbehörden
  • Partnerorganisationen

Risikoidentifikation

Identifikation von Bedrohungen

Technische Bedrohungen
  • Malware, Ransomware
  • Systemausfälle
  • Netzwerkangriffe (DDoS, Man-in-the-Middle)
Physische Bedrohungen
  • Feuer, Wasser, Stromausfall
  • Diebstahl, Vandalismus
  • Umwelteinflüsse
Soziale Bedrohungen
  • Social Engineering
  • Insider-Bedrohungen
  • Fehlbedienung

Identifikation von Schwachstellen

Technische Schwachstellen
  • Fehlkonfigurationen
  • Veraltete Software
  • Unzureichende Verschlüsselung
Organisatorische Schwachstellen
  • Fehlende Prozesse
  • Unklare Verantwortlichkeiten
  • Unzureichende Schulungen

Bestimmung potenzieller Auswirkungen

Finanzielle Auswirkungen
  • Umsatzverluste
  • Vertragsstrafen
  • Wiederherstellungskosten
Reputationsbezogene Auswirkungen
  • Vertrauensverlust
  • Negative Medienberichterstattung
  • Kundenabwanderung

Risikoanalyse

Analyse der Wahrscheinlichkeit von Bedrohungsszenarien

Wahrscheinlichkeitsbewertung
  • Einschätzung anhand historischer Daten, Brancheninformationen oder Expertenwissen
Ereignishäufigkeit
  • Betrachtung der erwarteten Eintrittsfrequenz pro Jahr oder Zeitraum

Bewertung der Risikoauswirkungen

Direkte Auswirkungen
  • Datenverlust
  • Systemausfall
  • Produktionsunterbrechung
Indirekte Auswirkungen
  • Imageverlust
  • Rechtsfolgen
  • Langfristige Kundenverluste

Ermittlung des Gesamtrisikos

Kombinierte Bewertung von Wahrscheinlichkeit und Auswirkungen
  • Nutzung einer Risikomatrix oder eines numerischen Risikowerts
  • Dokumentation der Bewertungslogik
Priorisierung von Risiken
  • Sortierung nach Risikohöhe
  • Hervorhebung kritischer Risiken

Risikobewertung

Vergleich der Risiken mit den Risikokriterien

  • Identifikation von Risiken oberhalb der Akzeptanzschwelle
  • Entscheidung über erforderliche Maßnahmen

Priorisierung der Risiken

Hochprioritäre Risiken
  • Sofortige Maßnahmen erforderlich
Mittelprioritäre Risiken
  • Maßnahmen zeitnah einplanen
Niedrigprioritäre Risiken
  • Risiko akzeptabel, regelmäßige Überprüfung

Risikobehandlung

Auswahl der Behandlungsoptionen

Risikovermeidung
  • Einstellung riskanter Aktivitäten
  • Entfernung unsicherer Komponenten
Risikominderung
  • Technische und organisatorische Maßnahmen
  • Härtung, Monitoring, Schulungen
Risikoüberwälzung
  • Versicherungen
  • Outsourcing
  • Vertragsklauseln
Risikoakzeptanz
  • Dokumentierte Entscheidung
  • Nur bei niedrigen oder unvermeidbaren Risiken

Planung der Risikobehandlungsmaßnahmen

  • Erstellung eines Risikobehandlungsplans
  • Definition von Verantwortlichkeiten, Ressourcen und Terminen

Implementierung der Risikobehandlungsstrategien

  • Umsetzung der Maßnahmen
  • Nachweisführung im ISMS

Überwachung und Überprüfung

Regelmäßige Überprüfung der Risiken

  • Aktualisierung bei Änderungen im Informationsverbund
  • Periodische Neubewertung

Anpassung der Risikobehandlungsmaßnahmen

  • Wirksamkeitskontrolle
  • Anpassung an neue Bedrohungen oder Schwachstellen

Kommunikation und Konsultation

Informationsaustausch mit den Stakeholdern

  • Regelmäßige Berichte an Management und Fachbereiche
  • Transparente Darstellung der Risiken

Einbeziehung der Stakeholder in den Risikomanagementprozess

  • Workshops, Interviews, Reviews
  • Förderung eines gemeinsamen Sicherheitsverständnisses

Risikomatrix und Bewertungsskalen

Bewertungsskalen

Wahrscheinlichkeitsskala (qualitativ)

Stufe Beschreibung
1 – Selten Ereignis ist unwahrscheinlich, aber möglich
2 – Gelegentlich Ereignis kann auftreten, aber nicht erwartbar oder regelmäßig
3 – Wahrscheinlich Ereignis tritt erwartbar und mit spürbarer Häufigkeit auf
4 – Häufig Ereignis tritt regelmäßig oder sehr wahrscheinlich auf

Auswirkungsskala (qualitativ)

Stufe Beschreibung
1 – Gering Kaum Auswirkungen auf Betrieb oder Daten.
2 – Mittel Kurzfristige Störungen, begrenzte Schäden, Behebung im Rahmen betrieblicher Prozesse möglich.
3 – Hoch Erhebliche Störungen, finanzielle oder rechtliche Folgen, Behebung erfodert zusätzliche Ressourcen.
4 – Kritisch Massive Auswirkungen, langfristige Schäden, regulatorische Risiken.

Risikomatrix

Wahrscheinlichkeit Auswirkungen
1 – Gering 2 – Mittel 3 – Hoch 4 – Kritisch
4 - Häufig Mittel Hoch Kritisch Kritisch
3 - Wahrscheinlich Mittel Mittel Hoch Kritisch
2 - Gelegentlich Niedrig Mittel Mittel Hoch
1 - Selten Niedrig Niedrig Mittel Mittel

Interpretation

  • Kritisch: Sofortige Maßnahmen zwingend erforderlich
  • Hoch: Maßnahmen kurzfristig einplanen
  • Mittel: Maßnahmen mittelfristig umsetzen
  • Niedrig: Risiko akzeptabel, regelmäßige Überprüfung
Abgerufen von „https://wiki.isms-ratgeber.info/index.php?title=ISO_27005&oldid=2374