ISO 27005

Aus ISMS-Ratgeber WiKi
Zur Navigation springenZur Suche springen
Under construction icon-blue.png Diese Seite ist derzeit noch ein Entwurf.

Weitere Informationen sowie Diskussionen über Änderungen an diesem Entwurf gibt es evtl. auf der Diskussion-Seite.


Der vorliegende Artikel beschreibt das Vorgehen für eine Risikoanalyse nach ISO/IEC 27005 "Informationssicherheit, Cybersicherheit und Datenschutz - Leitfaden zur Handhabung von Informationssicherheitsrisiken".

Einleitung

ISO/IEC 27005 definiert ein Verfahren für das Informationssicherheitsrisikomanagement, das Organisationen anleitet, Risiken zu identifizieren, zu bewerten und geeignete Maßnahmen zur Risikobehandlung auszuwählen. Es ermöglicht die systematische Analyse von Bedrohungen und Schwachstellen sowie die Abschätzung der potenziellen Auswirkungen auf die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen. Der Standard fördert eine objektive Bewertung der Risiken und unterstützt die Integration des Risikomanagementprozesses in ein Informationssicherheitsmanagementsystem (ISMS), um die Informationssicherheit kontinuierlich zu verbessern.

Einführung in das Risikomanagement nach ISO 27005

Ziel und Bedeutung des Risikomanagements

Das Ziel des Risikomanagements ist es, die Unsicherheiten zu identifizieren, zu bewerten und zu steuern, die Einfluss auf die Erreichung der Organisationsziele haben können. Die Bedeutung des Risikomanagements ergibt sich aus seiner Fähigkeit, folgende Vorteile zu bieten:

  • Sicherstellung der Geschäftskontinuität: Durch proaktives Identifizieren von Risiken und deren Behandlung können kritische Geschäftsprozesse aufrecht erhalten und potenzielle Schäden minimiert werden.
  • Schutz von Vermögenswerten: Das umfasst Informationen, Reputation, physische Werte und das Personal.
  • Einhalten von Rechtsvorschriften: Durch Risikomanagement werden Compliance-Anforderungen wie Datenschutzgrundverordnung (DSGVO) oder die Richtlinien der Internationalen Organisation für Normung (ISO) systematisch adressiert.
  • Optimierung von Ressourcen: Ressourcen werden dort eingesetzt, wo sie am meisten benötigt werden, um Risiken effektiv zu steuern und Schäden zu verhindern.

Überblick über ISO 27005

ISO 27005 stellt einen internationalen Standard dar, der spezifische Richtlinien zum Risikomanagement innerhalb eines Informationssicherheitsmanagementsystems (ISMS) bietet. Sie ergänzt die ISO 27001 durch Bereitstellung von Anforderungen speziell für die Risikobewertung, -behandlung und -überwachung bezogen auf Informationssicherheit. Praktische Schritte nach ISO 27005 umfassen:

  • Anwendungsbereich und Zweck: ISO 27005 unterstützt Organisationen beim Aufbau eines kontextabhängigen Rahmens für Risikomanagement, der die spezifischen Bedürfnisse bezüglich Informationssicherheit berücksichtigt.
  • Systematische Ansätze: Der Standard empfiehlt systematische Ansätze zur Risikoidentifikation, -analyse, -bewertung und -behandlung, die darauf ausgerichtet sind, Sicherheitsbedrohungen und ihre potenziellen Auswirkungen zu verstehen.
  • Integration in ISO 27001: ISO 27005 ist so konzipiert, dass sie nahtlos in das ISMS nach ISO 27001 integriert werden kann, wodurch eine konsistente und umfassende Risikomanagementstrategie gewährleistet wird.
  • Flexibilität: Der Standard lässt verschiedene Methoden der Risikoanalyse zu (qualitativ, quantitativ oder eine Kombination aus beidem), um verschiedenen organisatorischen Bedürfnissen und Umständen gerecht zu werden.

Vorgehen

Festlegung des Risikokontextes

Definition von Zielen und Umfang der Risikoanalyse

Abgrenzung des Informationsverbunds
Klärung der Schutzbedürfnisse

Festlegung der Risikokriterien

Risikoakzeptanzschwellen
Qualitative und quantitative Bewertungskriterien

Identifikation der Stakeholder

Interne Stakeholder
Externe Stakeholder

Risikoidentifikation

Identifikation von Bedrohungen

Technische Bedrohungen
Physische Bedrohungen
Soziale Bedrohungen

Identifikation von Schwachstellen

Technische Schwachstellen
Organisatorische Schwachstellen

Bestimmung potenzieller Auswirkungen

Finanzielle Auswirkungen
Reputationsbezogene Auswirkungen

Risikoanalyse

Analyse der Wahrscheinlichkeit von Bedrohungsszenarien

Wahrscheinlichkeitsbewertung
Ereignishäufigkeit

Bewertung der Risikoauswirkungen

Direkte Auswirkungen
Indirekte Auswirkungen

Ermittlung des Gesamtrisikos

Kombinierte Bewertung von Wahrscheinlichkeit und Auswirkungen
Priorisierung von Risiken

Risikobewertung

Vergleich der Risiken mit den Risikokriterien

Priorisierung der Risiken

Hochprioritäre Risiken
Mittelprioritäre Risiken
Niedrigprioritäre Risiken

Risikobehandlung

Auswahl der Behandlungsoptionen

Risikovermeidung
Risikominderung
Risikoüberwälzung
Risikoakzeptanz

Planung der Risikobehandlungsmaßnahmen

Implementierung der Risikobehandlungsstrategien

Überwachung und Überprüfung

Regelmäßige Überprüfung der Risiken

Anpassung der Risikobehandlungsmaßnahmen

Kommunikation und Konsultation

Informationsaustausch mit den Stakeholdern

Einbeziehung der Stakeholder in den Risikomanagementprozess