Einführung
Durch ein Informationssicherheits-Managementsystem (ISMS) werden Verfügbarkeit, Vertraulichkeit und Integrität von Unternehmenswerten dauerhaft sichergestellt. Die Auswahl der angemessenen Maßnahmen erfolgt dabei grundsätzlich risikobasiert. Nur so kann vermieden werden, dass die stets knappen Ressourcen ineffizient eingesetzt werden.
Häufig werden Risiken aus dem Bauch heraus beurteilt. Die Gefahr, dass dabei Risiken überbewertet, unterschätzt oder schlicht übersehen werden, ist sehr groß. Die Auswahl der umzusetzenden Maßnahmen erfolgt heute oft aufmerksamkeitsbasiert. Die Corona Pandemie und der Umgang mit ihr zeigen uns dies täglich sehr eindrucksvoll.
Beim Risikomanagement im ISMS werden vorhandene Informationssicherheitsrisiken strukturiert identifiziert, erfasst und bezüglich ihrer Eintrittswahrscheinlichkeit und ihres potentiellen Schadensausmaßes analysiert und bewertet. Mit den erlangten Erkenntnissen können die Verantwortlichen entscheiden, wie mit den Risken umgegangen werden soll. Reduzieren, Vermeiden, Übertragen oder auch einfach Beibehalten sind dabei die vier grundlegenden Risikobehandlungsoptionen. Auf dieser Basis werden nachfolgendend Maßnahmen ausgewählt und von den Verantwortlichen genehmigt. Die erwarteten Restrisiken werden von ihnen akzeptiert. Die Umsetzung der Risikobehandlungsmaßnahmen wird geplant und die Planung umgesetzt.
Risiken müssen laufend überwacht und ihre Analyse und Bewertung regelmäßig und auch anlassbezogen überprüft werden. Dies führt im Ergebnis zu einem Informationssicherheits-Risikomanagementsystem (ISRM). Für ein solches gibt es diverse Vorschläge, Normen und Standards. In der ISO 27000er-Reihe macht die ISO 27005 ein entsprechendes Angebot.
Die Auswahl der grundlegenden Vorgehensweise sowie die konkrete Ausgestaltung muss dabei immer dem einzelnen Unternehmen und seinem Kontext angepasst werden. Nur so ist eine jeweils passende und auch angemessen Vorgehensweise gewährleistet. Deutliche Unterschiede gibt es z.B. bei der Verteilung der Verantwortlichkeiten und Kompetenzen sowie bei den genutzten Methoden. Im Ergebnis unterscheidet sich dann das Risikomanagement einer Behörde deutlich von dem eines agilen Softwareentwicklungsunternehmens.
Bisher erschienen:
- Risikomanagement im ISMS – Einführung
- Risikomanagement im ISMS – Identifikation von Risiken
- Risikomanagement im ISMS – Beurteilung von Risiken
Seminar „Risikomanagement im ISMS“
In unserem Online-Seminar „Risikomanagement im ISMS“ stellen wir Ihnen ein Risikomanagement nach ISO 27701 und ISO 27005 vor. Darauf aufbauend lernen Sie eine Reihe konkreter Risikoidentifikations- und Analysemethoden kennen. Dabei nehmen wir sowohl qualitative wie quantitative und auch kreative Methode in den Blick. Sie werden in die Lage versetzt, eine für ihre Organisation angemessene Vorgehensweise beim Risikomanagement zu entwickeln, sowie konkrete Methoden auszuwählen und anzupassen.
Nächster Termin: 08. – 09.09.2021
Autor: Matthias Weigmann
[…] Risikomanagement im ISMS – Einführung […]
[…] ersten Teil unserer Serie zum Risikomanagement im ISMS haben wir uns allgemein über den Stellenwert des Risikomanagements im ISMS nach ISO 27001 […]
[…] ersten Teil unserer Serie zum Risikomanagement im ISMS haben wir uns allgemein über den Stellenwert des Risikomanagements im ISMS nach ISO 27001 […]