Risikomanagement im ISMS (Teil 1)
Einführung
Durch ein Informationssicherheits-Managementsystem (ISMS) werden Verfügbarkeit, Vertraulichkeit und Integrität von Unternehmenswerten dauerhaft sichergestellt. Die Auswahl der angemessenen Maßnahmen erfolgt dabei grundsätzlich risikobasiert. Nur so kann vermieden werden, dass die stets knappen Ressourcen ineffizient eingesetzt werden.
Häufig werden Risiken aus dem Bauch heraus beurteilt. Die Gefahr, dass dabei Risiken überbewertet, unterschätzt oder schlicht übersehen werden, ist sehr groß. Die Auswahl der umzusetzenden Maßnahmen erfolgt heute oft aufmerksamkeitsbasiert. Die Corona Pandemie und der Umgang mit ihr zeigen uns dies täglich sehr eindrucksvoll.
Beim Risikomanagement im ISMS werden vorhandene Informationssicherheitsrisiken strukturiert identifiziert, erfasst und bezüglich ihrer Eintrittswahrscheinlichkeit und ihres potentiellen Schadensausmaßes analysiert und bewertet. Mit den erlangten Erkenntnissen können die Verantwortlichen entscheiden, wie mit den Risken umgegangen werden soll. Reduzieren, Vermeiden, Übertragen oder auch einfach Beibehalten sind dabei die vier grundlegenden Risikobehandlungsoptionen. Auf dieser Basis werden nachfolgendend Maßnahmen ausgewählt und von den Verantwortlichen genehmigt. Die erwarteten Restrisiken werden von ihnen akzeptiert. Die Umsetzung der Risikobehandlungsmaßnahmen wird geplant und die Planung umgesetzt.
Risiken müssen laufend überwacht und ihre Analyse und Bewertung regelmäßig und auch anlassbezogen überprüft werden. Dies führt im Ergebnis zu einem Informationssicherheits-Risikomanagementsystem (ISRM). Für ein solches gibt es diverse Vorschläge, Normen und Standards. In der ISO 27000er-Reihe macht die ISO 27005 ein entsprechendes Angebot.
Die Auswahl der grundlegenden Vorgehensweise sowie die konkrete Ausgestaltung muss dabei immer dem einzelnen Unternehmen und seinem Kontext angepasst werden. Nur so ist eine jeweils passende und auch angemessen Vorgehensweise gewährleistet. Deutliche Unterschiede gibt es z.B. bei der Verteilung der Verantwortlichkeiten und Kompetenzen sowie bei den genutzten Methoden. Im Ergebnis unterscheidet sich dann das Risikomanagement einer Behörde deutlich von dem eines agilen Softwareentwicklungsunternehmens.
Was Sie auch interessieren könnte:
Seminar:
Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.
Podcast:
Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.
Hören Sie rein!