Schlagwortarchiv für: ISO 27001

JETZT GIBT’S AUF DIE OHREN – SECURITY ON AIR – DER ANMATHO PODCAST

Zu viele Köche verderben den Brei – aber wie viele Köche braucht man eigentlich, um einen wirklich schmackhaften Brei zu bekommen? Eine ähnliche Frage kann man sich bei der Zusammenstellung des Projektteams für die Einführung eines ISMS stellen: wer sollte unbedingt dabei sein, damit alle Aspekte des Unternehmens sich auch im ISMS widerspiegeln?

In unserer Folge „Einführung eines ISMS – Zusammenstellung des Projektteams“ gehen wir auf folgende Aspekte ein:

  • Grundlage Kapitel 7 der ISO 27001 „Unterstützung“
  • Bestimmung des notwendigen Personenkreises
  • Gründe zum Einbinden von Personal und IT
  • Lokale ISB / Sicherheitskoordinatoren – „Helferlein“ für den besseren Kommunikationsfluss
  • Hilfestellung durch die ISO 27002 bzw. den Anhang A der ISO 27001

Dieser Podcast richtet sich an die Verantwortlichen im ISMS, die für die Zusammenstellung der Projektgruppe zuständig sind, sowie die Geschäftsleitung, die das gesamte ISMS verantwortet.

Hier ein Paar Links zum Thema „Einführung eines ISMS – Zusammenstellung des Projektteams“  

Alle unsere Podcastfolgen finden Sie auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

Wir stehen Ihnen auch direkt zur Verfügung unter Tel.: 040 229 47 19 0 oder per E-Mail unter podcast@anmatho.de.

JETZT GIBT’S AUF DIE OHREN – SECURITY ON AIR – DER ANMATHO PODCAST

In allen Managementsystemen wie einem ISMS oder QMS sind Richtlinien als dokumentierter Nachweis wie Prozesse laufen sollen, essenziell.

In diesem Podcast wollen wir darauf eingehen, wie man Richtlinien möglichst einfach, einheitlich und verständlich erstellt und im Unternehmensalltag integriert. Dabei ist es auch wichtig, Richtlinien nicht als Hürde oder bürokratische Zeitfresser zu sehen, sondern als sinnvolle Leitplanken, die im Arbeitsalltag, bei Unklarheiten und bei Haftungsfragen hilfreich sind.

Dieser Podcast richtet sich an die Unternehmensleitung und an alle die für die Erstellung und den Lebenszyklus von Richtlinien zuständig sind.

In unserer Folge „Richtlinien im Unternehmen – Tipps bei der Erstellung und Umsetzung“ gehen wir auf folgende Aspekte ein:

  • Hinweise vor dem Erstellen von Richtlinien
  • Zusammenhang Richtlinien und gelebte Prozesse
  • Verständlich, prägnant, prozessnah – Tipps zum Schreiben von Richtlinien
  • Lebenszyklus von Richtlinien – Richtlinienmanagement und kontinuierlicher Verbesserungsprozess
  • Wie bekommt man die Richtlinien zu den Mitarbeitern?

Hier ein Paar Links zum Thema Richtlinien im Unternehmen – Tipps bei der Erstellung und Umsetzung“  

Alle unsere Podcastfolgen finden Sie auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

Wir stehen Ihnen auch direkt zur Verfügung unter Tel.: 040 229 47 19 0 oder per E-Mail unter podcast@anmatho.de.

In einem vorangehenden Beitrag habe ich einen kurzen Überblick über die Messung der Wirksamkeit eines Informationssicherheits-Managementsystems (ISMS) und seiner Maßnahmen gegeben. Dieser Artikel erläutert die Funktion der “Managementbewertung” bei der Überprüfung der Wirksamkeit des ISMS.

Managementbewertung

Wie viele andere Aspekte eines ISMS findet man auch die Forderung nach einer Bewertung des ISMS durch die oberste Leitung einer Organisation in allen bedeutenden Rahmenwerken zur Informationssicherheit, gleich ob ISO 27001, BSI IT-Grundschutz oder ein anderes Regelwerk. Die Bewertung durch die eigene Leitung ist immer ein wichtiger Bestandteil.

Die ISO 27001:2022 nennt, ebenso wie die Vorgängerversion ISO 27001:2013, in Kapitel 9 drei verpflichtende Handlungsfelder zur Bewertung der Leistung:

  1. Überwachung, Messung, Analyse und Bewertung
  2. Interne Audits
  3. Managementbewertung

Dem Punkt “Überwachung, Messung, Analyse und Bewertung” sowie “Interne Audits” habe ich mich in vergangenen Artikeln bereits gewidmet. Hier soll es jetzt um den letzten Punkt die Managementbewertung gehen.

Die ISO 27001:2022 fordert: “Die oberste Leitung muss das Informationssicherheitsmanagementsystem der Organisation in geplanten Abständen bewerten …”  Zweck ist es, die fortdauernde Eignung, Angemessenheit und Wirksamkeit des ISMS sicherzustellen.

In der Regel hat die Geschäftsführung einen Mitarbeiter mit dem Aufbau und dem Betrieb des ISMS beauftragt, den Informationssicherheitsbeauftragten (IS-Beauftragter). Die konkrete Benennung kann hiervon abweichen, darauf kommt es hier nicht an. Wesentlich ist, dass die Geschäftsführung eine Aufgabe, die eigentlich die ihre ist, an einen Mitarbeiter übertragen hat. Sie muss sich daher in angemessener Weise davon überzeugen, dass diese Aufgabe von ihrem Beauftragten angemessen und wirksam wahrgenommen wird. in der ISO 27001 (Kapitel 9.3) dient die dort sogenannte  Managementbewertung (engl. Management Review) dazu, die Eignung, Angemessenheit und Wirksamkeit des ISMS festzustellen.

Da es sich um eine eigenständige Leistung der Geschäftsführung handelt, könnte diese theoretisch die Bewertung alleine durchführen. In der Praxis besteht die Managementbewertung fast immer aus einem Vortrag des IS-Beauftragten, gefolgt von einer wertenden Reaktion der Geschäftsführung. Die Wertung ist dabei der eigentlich wichtige Teil  der Veranstaltung. Kenntnisnahme ist keine Wertung und genügt nicht.

Häufigkeit der Managementbewertung

Die ISO 27001:2022 schreibt “in geplanten Abständen” vor. Dies wird nun üblicherweise mit mindestens einmal jährlich interpretiert und in die Praxis in einmal im Kalenderjahr übersetzt. Die Frage, ob das gewählte Intervall angemessen und zielführend ist, wird dabei häufig nicht gestellt. Das ist schade.

In sehr großen Unternehmen, die eine ausgewachsene Informationssicherheitsorganisation betreiben, ist dies einmal jährlich oft ausreichend. In mittelständischen Unternehmen, in den die oberste Leitung  auch sonst noch häufiger operative Entscheidungen trifft, sollten die Abstände verkürzt werden. Man kann sich dabei gerne an anderen Bereichen des Unternehmens orientieren. Wie oft tragen beispielsweise der Vertrieb, das Marketing, das Personalwesen oder der Datenschutz bei der Geschäftsführung vor und holen sich deren Entscheidungen ab? Die Managementbewertung nach ISO 27001 beansprucht dabei kein eigenes Meeting. Sie kann gerne als ein Tagesordnungspunkt in einer ohnehin stattfinden Runde stattfinden. Wichtig ist, das inhaltlich alle im Kapitel 9.3 aufgeführten Punkte auch behandelt werden.

Ergebnisse der Managementbewertung

Die Geschäftsführung muss im Ergebnis die fortdauernde Eignung, Angemessenheit und Wirksamkeit des ISMS feststellen oder entsprechende Maßnahmen einleiten, um diese herzustellen.

Weiterhin bedarf es Entscheidungen zu Möglichkeiten der Verbesserung des ISMS. Dies können z.B. Entscheidungen zur Einführung bestimmter Systeme, zur Ressourcenanpassung oder zur Zuweisung von Befugnissen sein.

Die Ergebnisse der Managementbewertung müssen dokumentiert werde.

 

Damit findet diese kleine Serie von Artikeln zu den Forderungen des Kapitel 9 der ISO 27001 seinen Abschluss. Zukünftige Artikel werden konkrete Möglichkeiten der Umsetzung skizzieren.

Was Sie noch interessieren könnte…

Seminar:

„Wirksamkeitsmessung nach ISO 27004“

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

In unserem Podcast “Wirksamkeitsmessung in der ISO 27001” informieren wir Sie in lockerer Art und Weise über folgende Aspekte:

  • Was fordert die ISO 27001 und die ISO 27004?
  • Wie findet man heraus, was gemessen werden sollte und mit welchen Methoden?
  • Worauf achten Auditoren?
  • Was sind beispielhafte Kenngrößen?

Hören Sie rein!

JETZT GIBT’S AUF DIE OHREN – SECURITY ON AIR – DER ANMATHO PODCAST

In 2022 wurden die ISO Normen 27001 und 27002 aktualisiert. Neben kleineren Änderungen und Ergänzungen in den Normkapiteln der ISO 27001 gab es große Änderungen in der ISO 27002 und damit auch im Anhang der ISO 27001, in den Controls und Maßnahmen zur Umsetzung eines ISMS. Bis 2025 müssen alle bereits zertifizierten ISM Systeme nach den aktualisierten Normen ausgerichtet werden, daher ist eine Beschäftigung mit den Änderungen unumgänglich.

In unserer Folge „Neuerungen in der ISO Norm 27001/27002“ gehen wir auf folgende Aspekte ein:

  • Zeitlicher Ablauf – Umstellungsfristen, Zertifizierungen
  • Änderungen der Norm in den Normkapiteln und im Anhang
  • Tipps zur Einbindung neuer Controls
  • Sicht eines Auditors zur Prüfung der Änderungen

Hier ein Paar Links zum Thema Neuerungen in der ISO Norm 27001/27002

Alle unsere Podcastfolgen finden Sie auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

Wir stehen Ihnen auch direkt zur Verfügung unter Tel.: 040 229 47 19 0 oder per E-Mail unter podcast@anmatho.de.

Die digitale Transformation hat die Art und Weise, wie Unternehmen Informationen verwalten, grundlegend verändert. Mit dem zunehmenden Einsatz von Technologien und der verstärkten Vernetzung von Geschäftsprozessen ist es entscheidend, dass Organisationen robuste Informationssicherheits-Managementsysteme (ISMS) implementieren. Die ISO 27001, eine international anerkannte Norm für Informationssicherheit, bietet einen Rahmen für die Entwicklung, Umsetzung, Überwachung und Verbesserung eines wirksamen ISMS. Interne Audits nach ISO 27001 spielen dabei eine Schlüsselrolle, um sicherzustellen, dass das ISMS effektiv funktioniert und den ständig wachsenden Bedrohungen standhält.

Warum sind interne Audits wichtig?

Interne Audits sind systematische und unabhängige Bewertungen von Prozessen, um sicherzustellen, dass diese den festgelegten Standards entsprechen. Im Kontext von ISO 27001 dienen interne Audits dazu, die Wirksamkeit des ISMS zu überprüfen und Schwachstellen aufzudecken, bevor sie zu ernsthaften Sicherheitsproblemen führen. Durch regelmäßige Audits wird eine kontinuierliche Verbesserung der Informationssicherheitsprozesse ermöglicht.

Planung ist der Schlüssel zum Erfolg

Bevor ein internes Audit durchgeführt wird, ist eine sorgfältige Planung erforderlich. Dies umfasst die Festlegung der Auditziele, die Auswahl qualifizierter Auditoren und die Festlegung des Prüfumfangs. Der Auditplan sollte alle relevanten Prozesse und Kontrollen abdecken, um ein umfassendes Bild der Informationssicherheitslage im Unternehmen zu erhalten.

Durchführung des internen Audits

Während des Audits bewerten die internen Auditoren die Umsetzung der ISO-27001-Anforderungen, die Effektivität der Sicherheitskontrollen und die allgemeine Konformität mit den festgelegten Richtlinien. Dies beinhaltet oft Interviews mit Mitarbeitern, Überprüfung von Dokumentationen und Analyse von Sicherheitsvorfällen. Das Ziel ist es, potenzielle Schwachstellen zu identifizieren und Empfehlungen für Verbesserungen auszusprechen.

Ergebnisse und Maßnahmenplanung

Nach Abschluss des internen Audits werden die Ergebnisse dokumentiert. Dies umfasst festgestellte Nonkonformitäten, positive Ergebnisse und mögliche Verbesserungsvorschläge. Basierend auf diesen Ergebnissen erstellt das Unternehmen einen Maßnahmenplan, um die identifizierten Schwachstellen zu beheben und das ISMS kontinuierlich zu verbessern.

Kontinuierliche Verbesserung und Anpassung an neue Herausforderungen

Interne Audits dienen nicht nur der Einhaltung von Standards, sondern fördern auch eine Kultur der kontinuierlichen Verbesserung. Die sich ständig ändernde Bedrohungslandschaft erfordert, dass Unternehmen flexibel bleiben und ihre Sicherheitspraktiken anpassen. Durch regelmäßige interne Audits können Unternehmen sicherstellen, dass ihr ISMS nicht nur aktuellen Standards entspricht, sondern auch auf neue Herausforderungen vorbereitet ist.

Fazit

Interne Audits nach ISO 27001 sind unverzichtbar für die Sicherheit von Unternehmensinformationen. Sie bieten eine systematische Methode, um die Effektivität des ISMS zu überprüfen, Schwachstellen aufzudecken und eine kontinuierliche Verbesserung zu fördern. Unternehmen, die diese Audits ernst nehmen, investieren nicht nur in ihre eigene Sicherheit, sondern auch in das Vertrauen ihrer Kunden und Partner. Ein gut durchgeführtes internes Audit ist somit nicht nur eine Pflichtübung, sondern ein strategisches Werkzeug zur Bewältigung der ständig wachsenden Herausforderungen im Bereich der Informationssicherheit.

Was Sie auch interessieren könnte:

Seminar:

„Einführung in die Auditierung von Managementsystemen nach ISO 19011“

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

JETZT GIBT’S AUF DIE OHREN – SECURITY ON AIR – DER ANMATHO PODCAST

Nachdem man sich Gedanken gemacht hat, warum, durch wen und nach welchem Standard ein ISMS eingeführt werden soll, sollte man nicht einfach wild drauf los starten. Besser ist es, sich schon am Anfang des ganzen Projektes grundlegende Gedanken zur Dokumentation, Klassifizierung, zum Risiko- und Assetmanagement zu machen.

In unserer Folge „ISMS mit Methode – erste Überlegungen“ gehen wir auf folgende Aspekte ein:

  • Grundlegende Überlegungen am Anfang eines ISMS-Projektes
  • Wichtigkeit der Methodik für Dokumentation, Klassifizierung und Dokumentenlenkung
  • Überlegungen zum Risiko- und Assetmanagement je nach Unternehmen
  • Wo finde ich Hilfen: Kapitel 4 und BSI Grundschutz Kompendium

Hier ein Paar Links zum Thema ISMS mit Methode – erste Überlegungen

Alle unsere Podcastfolgen finden Sie auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

Wir stehen Ihnen auch direkt zur Verfügung unter Tel.: 040 229 47 19 0 oder per E-Mail unter podcast@anmatho.de.

JETZT GIBT’S AUF DIE OHREN – SECURITY ON AIR – DER ANMATHO PODCAST

Man kann noch so gut planen und sich an Regeln halten, passieren kann trotzdem immer etwas. Aber wie geht man damit um, wann handelt es sich tatsächlich um einen Vorfall und wann nur um ein Ereignis, dass zwar beobachtet werden muss, aber noch kein wirkliches Problem darstellt?

In unserer Folge „Vorfälle in der Informationssicherheit– Pleiten, Pech und Pannen“ gehen wir auf folgende Aspekte ein:

  • Unterscheidung zwischen Schwachstelle, Ereignis und Vorfall
  • Wer meldet wann, was und an wen
  • Die Aufgaben des ISB’s in diesem Prozess

Hier ein Paar Links zum Thema Vorfälle in der Informationssicherheit:

Alle unsere Podcastfolgen finden Sie auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

Wir stehen Ihnen auch direkt zur Verfügung unter Tel.: 040 229 47 19 0 oder per E-Mail unter podcast@anmatho.de.

In einem vorangehenden Beitrag habe ich einen kurzen Überblick über die Messung der Wirksamkeit eines Informationssicherheits-Managementsystems (ISMS) und seiner Maßnahmen gegeben. Dieser Artikel vertieft die Funktion der “Internen Audits” bei der Überprüfung der Wirksamkeit des ISMS.

Interne Audits

Wie viele andere Aspekte eines ISMS findet man Interne Audits in allen bedeutenden Rahmenwerken zur Informationssicherheit, gleich ob ISO 27001, BSI IT-Grundschutz oder ein anderes Regelwerk. Interne Audits sind immer ein wichtiger Bestandteil der Bewertung der Leistung.

Die ISO 27001:2022 nennt, ebenso wie die Vorgängerversion ISO 27001:2013, in Kapitel 9 drei verpflichtende Handlungsfelder zur Bewertung der Leistung:

  1. Überwachung, Messung, Analyse und Bewertung
  2. Interne Audits
  3. Managementbewertung

Dem Punkt “Überwachung, Messung, Analyse und Bewertung” habe ich mich in der Vergangenheit in einigen Artikeln gewidmet. Das Thema “Managementbewertung” wird uns in einem späteren Artikel beschäftigen. Hier soll es um den zweiten Punkt “Interne Audits” gehen.

Die ISO 27001:2013 fordert: “Die Organisation muss in geplanten Abständen interne Audits durchführen, …”. Zweck ist es, sicherzustellen, dass sowohl die organisationseigenen Anforderungen an das ISMS als auch die Anforderungen der ISO 27001 selbst erfüllt werden.

Dazu sind ein oder mehrere Auditprogramme zu planen und umzusetzen.

Auditprogramm

Ein Auditprogramm plant ein oder mehrere Audits, wobei “mehrere” der Regelfall ist. Das Auditprogramm (meist ist es eins), das die Internen Audits einer Organisation plant, beschreibt mindestens folgende Aspekte der Audits:

  • Häufigkeit und zeitliche Lage der Audits
  • Methoden (Dokumentensichtung, Befragung vor Ort etc.)
  • Verantwortlichkeiten
  • Anforderungen an die Planung
  • Berichterstattung
  • Auditkriterien (gegen welche Norm oder sonstiges Regelwerk wird auditiert)
  • Auditoren

Das  Auditprogramm muss die Bedeutung der betroffenen Prozesse widerspiegeln. Dies kann u.a. durch eine geeignete Verteilung der zur Verfügung stehenden Auditzeit bzw. die Häufigkeit der Auditierung der einzelnen Prozesse umgesetzt werden.

Gleichfalls soll das Auditprogramm die Ergebnisse vorheriger Audits berücksichtigen. Dabei sind insbesondere aufgetretene Nichtkonformitäten zu betrachten.

In einem späteren Artikel werde ich mich näher mit der Managementbewertung nach Kapitel 9.3 beschäftigen.

Was Sie noch interessieren könnte…

Seminar:

„Wirksamkeitsmessung nach ISO 27004“

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

In unserem Podcast “Wirksamkeitsmessung in der ISO 27001” informieren wir Sie in lockerer Art und Weise über folgende Aspekte:

  • Was fordert die ISO 27001 und die ISO 27004?
  • Wie findet man heraus, was gemessen werden sollte und mit welchen Methoden?
  • Worauf achten Auditoren?
  • Was sind beispielhafte Kenngrößen?

Hören Sie rein!

JETZT GIBT’S AUF DIE OHREN – SECURITY ON AIR – DER ANMATHO PODCAST

Aller Anfang ist schwer – auch bei der Einführung eines ISMS stellen sich viele Fragen: warum, wie, wer? Einfach anfangen ist auch nicht ratsam, ein unstrukturiertes Vorgehen verschwendet nur unnötig Ressourcen. Aber wie beginnt man ein ISMS-Projekt nun richtig?

In unserer Folge „Erste Schritte im ISMS – mit dem Beginnen beginnen“ gehen wir auf folgende Aspekte ein:

  • Kommunikation ist alles – Vorbildfunktion der Geschäftsführung und Abholen aller Mitarbeiter
  • Überlegungen zur Scopefindung
  • Tipps zum Normverständnis
  • Vorteile einer Gap-Analyse
  • Alles zu seiner Zeit – Terminierung der Zertifizierung

Hier ein Paar Links zum Thema Erste Schritte im ISMS:

Alle unsere Podcastfolgen finden Sie auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

Wir stehen Ihnen auch direkt zur Verfügung unter Tel.: 040 229 47 19 0 oder per E-Mail unter podcast@anmatho.de.

Informationssicherheitsbehandlung – Risikobehandlungsoptionen

Im ersten Teil unserer Serie zum Risikomanagement im ISMS haben wir uns allgemein über den Stellenwert des Risikomanagements im ISMS nach ISO 27001 unterhalten. Im zweiten Teil ging es um die Risikoidentifikation. Der dritte Teil beschäftigte sich mit der Beurteilung von Risiken.

In diesem Beitrag beschäftigen wir uns mit der Informationssicherheitsbehandlung im Sinne des Kapitels 6.1.3 der ISO 27001:2013, d.h. mit dem Planungsteil der Informationssicherheitsbehandlung. Der Umsetzung der Maßnahmen werden wir uns in einem späteren Beitrag widmen.

Informationssicherheitsoptionen

Zunächst fordert die ISO 27001:2013, dass für die Informationssicherheitsbehandlung angemessene Optionen unter Berücksichtigung der Ergebnisse der Risikobeurteilung auszuwählen. Es können also auch mehrere Optionen ausgewählt werden. Gelegentlich ist dies auch notwendig, da eine einzelne Option möglicherweise nicht zum gewünschten Ergebnis führt. Input dieses Prozessschrittes ist die priorisierte Risikoliste.

Die üblichen Risiokobehandlungsoptionen sind:

  • Risikovermeidung
  • Risikoverminderung
  • Risikoverlagerung
  • Risikoübernahme

Je nach Kontext finden sich leicht andere Bezeichnungen oder einzelne Optionen werden noch einmal in Untertype aufgeteilt. Was bedeuten nun die einzelnen Optionen:

Risikovermeidung (risk avoidance)

Dies klingt zunächst wie der Königsweg. Wenn man das Risiko vermeidet, ist es weg. Allerdings sind Risiken meist untrennbar mit unseren Tätigkeiten, Akticitäten und Prozessen verbunden. Risiken zu vermeiden bedeutet also die mit dem Risiko verbundenen Tätigkeit aufzugeben. Damit wird klar, dass diese Option nur für eine begrenzte Anzahl von Risiken in Frage kommt, möchte man den Geschäftsbetrieb nicht vollständig einstellen. Für einzelne Tätigkeiten oder Abläufe ist dies jedoch eine gute Wahl.

Beispiel:

  • Mit dem Verbieten der Nutzung von privaten Endgeräten zu dienstlichen Zwecken vermeide ich alle an einer solchen Arbeitsweise hängenden Rechtsrisiken, u.a. die datenschutzrechtlichen.

Risikoverminderung (risk modifikation)

Der Wunsch, ein Risiko zu vermindern, ist häufig unser erster Impuls. Wir reduzieren die Schwere der Folgen und / oder die Höhe der Eintrittswahrscheinlichkeit. Der englische Begriff “risk modification” weitet hier die Betrachtungsweise dahingehend, dass es in Einzelfällen auch sinnvoll sein kann, ein Risiko bewusst zu erhöhen, insbesondere um eine Chance wahrzunehmen.

Beispiele:

  • Nutzung eines unverschlüsselten Kommunikationskanals bei der Angebotsvorbereitung, um eine Ausschreibungsfrist einhalten zu können.
  • Etablierung eines Patchmangements, um die Wahrscheinlichkeit des Befalls durch Schadsoftware zu reduzieren.

Risikoverlagerung oder -abwälzung (risk sharing)

Der deutsche Begriff  Risikoabwälzung klingt sehr negativ, geradezu unlauter. Auch hier ist der englische Begriff “risk sharing” (Risikoteilung) etwas schöner. Wir teilen unser Risiko mit jemand anderen. Damit auf der Gegenseite die Bereitschaft vorhanden ist, zumindest einen Teil unseres Risikos zu übernehmen, wird diese üblicherweise hierfür entschädigt. Die Risikoübernahme ist Teil des Geschäftsmodells derjenigen, die die Risiken übernehmen.

Beispiele:

  • Abschluss einer Cyber-Versicherung: Die Versicherung übernimmt (zumindest einen Teil) der der finanziellen Folgen der Cyber-Risiken eines Unternehmens.
  • Outsourcing der IT-Infrastruktur: Ein Outsourcer übernimmt den IT-betrieb für seinen Kunden und damit auch die Risiken, die mit dem IT-Betrieb zusammenhängen. Er haftet seinem Kunden für den ordnungsgemäßen Betrieb und wird hierfür entsprechend vergütet.

Risikoübernahme oder Risikobeibehaltung (risk retention)

Das Risiko wird unverändert beibehalten. Dies gilt auch, wenn das Risiko oberhalb der festgelegten generellen Risikoakzeptanzschwelle liegt. Es handelt sich dabei um eine bewusste Entscheidung. Häufig erfolgt die Entscheidung zur Risikobeibehaltung zeitlich befristet.

Beispiel:

  • Der Patchplan sieht das Patchen eines Altsystems vor. Der Vorgang ist aufwendig und mit Betriebsunterbrechung verbunden. Das Ersetzen des Altsystems durch eine neue Anwendung ist für das übernächste Quartal geplant. Es wird entschieden, die Risiken, die sich aus dem Weiterbetrieb des ungepatchten System ergeben bis dahin zu übernehmen.

Maßnahmen zur Umsetzung der gewählten Optionen

Das Ergebnis sind zu jedem Risiko ausgewählte Risikobehandlungsoptionen. Im Anschluss sind entsprechend der gewählten Optionen Maßnahmen festzulegen. Dies wird Gegenstand des nächsten Blog-Artikels zum Risikomanagement im ISMS.

Was Sie noch interessieren könnte…

Seminar:

„Risikomanagement im ISMS“

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Auch zur Risikoanalyse haben wir eine Folge für Sie aufgenommen. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

Schlagwortarchiv für: ISO 27001