Die Risikoeinschätzung (Risikobewertung) ist der aufwendigste Teil, den Sie neben der Risikobehandlung bei der Einführung des ISMS ISO 27001 bearbeiten müssen. Der Sinn der Risikoeinschätzung in der ISO 27001 besteht darin, alle potenziellen Vorfälle im Vorfeld zu betrachten, zu bestimmen, zu bewerten und geeignete Maßnahmen, beispielsweise aus dem Annex A der 27001, umzusetzen. Dabei sollte der Fokus auf die Vorfälle gerichtet werden, die den grössten Schaden anrichten können.
In der Risikobewertung sind zunächst alle Assets (Vermögenswerte) aufzulisten, die eine Auswirkung auf Vertraulichkeit, Integrität und Verfügbarkeit haben können und im darauffolgenden Schritt die Bedrohungen und Schwachstellen, die in direkten Zusammenhang mit den Assets stehen. Diese müssen den Assets zugeordnet werden. Danach erfolgt im nächsten Schritt die Bewertung dieser Risiken anhand von Auswirkungen und Wahrscheinlichkeiten. Eine hohe Auswirkung muss nicht zwingend eine Maßnahme definieren sofern die Wahrscheinlichkeit, dass diese Auswirkung eintrifft, sehr gering ist.
Risikobehandlungsplan
Die Risikobehandlung (Risikobehandlungsplan) ist der nächste Schritt nach der Risikoeinschätzung und sorgt für die Umsetzung. Im Risikobehandlungsplan werden die notwendigen Ressourcen, Verantwortlichkeiten, Budget etc. festgelegt. Dieser Risikobehandlungsplan muss durch die oberste Leitung freigegeben und genehmigt werden. Vorallem einzelne Maßnahmen aus der Risikoeinschätzung sind teilweise mit erheblichen Kosten verbunden, die durch die oberste Leitung bzw. durch das Top Management freigegeben werden müssen. Sofern Sie ausgelagerte bzw. ausgegliederte Prozesse haben, sind diese ebenfalls in der Risikoeinschätzung zu hinterfragen. Oftmals ist ein Vertrag zwischen Unternehmen und Dienstleister ausreichend.
Unterschied Risikobewertung und Risikobehandlung
In der ISO 27001 beziehen sich Risikobewertung und Riskobehandlung auf unterschiedliche, aber miteinander verknüpfte Schritte im Risikomanagementprozess. Hier sind die Hauptunterschiede zwischen den beiden:
- Risikobewertung (Risk Assessment):
Die Risikobewertung ist der Prozess der Identifikation, Analyse und Bewertung von Risiken, die die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen in einer Organisation beeinflussen könnten. Dieser Prozess umfasst:
- Die Identifikation von Risiken, die mit dem Verlust von Vertraulichkeit, Integrität und Verfügbarkeit von Informationen verbunden sind.
- Die Analyse der Wahrscheinlichkeit des Eintretens dieser Risiken sowie die potenziellen Auswirkungen auf die Organisation, sollten sie eintreten.
- Die Bewertung der Risiken auf der Grundlage ihrer Wahrscheinlichkeit und Auswirkungen, um festzustellen, welche Risiken behandelt werden müssen.
- Risikobehandlung (Risk Treatment):
Die Risikobehandlung, auch als Risikoplanung bezeichnet, bezieht sich auf den Prozess der Entwicklung und Implementierung von Maßnahmen und Kontrollen, um die identifizierten und bewerteten Risiken zu behandeln. Dies kann durch eine Kombination aus verschiedenen Strategien erreicht werden, wie z. B.:
- Risikovermeidung: Bestimmte Aktivitäten oder Prozesse, die ein Risiko darstellen, werden eingestellt oder nicht durchgeführt.
- Risikominderung: Implementierung von Kontrollen und Maßnahmen, um das Risiko zu reduzieren oder seine Auswirkungen zu begrenzen.
- Risikoübertragung: Verlagerung des Risikos an Dritte, z. B. durch Versicherungen oder Verträge.
- Risikoakzeptanz: Die Organisation entscheidet, dass das Risiko tolerierbar ist und keine weiteren Maßnahmen erforderlich sind.
In der ISO 27001 sind die Risikobewertung und die Risikoplanung Teil eines kontinuierlichen Risikomanagementprozesses, der die Organisation dabei unterstützt, die Informationssicherheit aufrechtzuerhalten und ständig zu verbessern. Beide Prozesse sind miteinander verknüpft, da die Ergebnisse der Risikobewertung als Grundlage für die Entwicklung und Implementierung von Risikobehandlungsplänen dienen.
Kontrollen (Maßnahmen) Anhang A
Kategorie (Anlage A) | Beispiele für Sicherheitskontrollen (Maßnahmen) |
---|---|
A.5 Informationssicherheitsrichtlinien | – Dokumentierte Sicherheitsrichtlinien |
– Überprüfung und Aktualisierung der Sicherheitsrichtlinien | |
A.6 Organisation der Informationssicherheit | – Rollen und Verantwortlichkeiten für die Informationssicherheit |
– Kontakte mit Behörden und speziellen Interessengruppen | |
A.7 Personal- und Informationssicherheit | – Schulungen und Sensibilisierung für Informationssicherheit |
– Disziplinarverfahren | |
A.8 Vermögensverwaltung | – Inventarisierung von Vermögenswerten |
– Klassifizierung und Handhabung von Informationen | |
A.9 Zugangskontrolle | – Zugriffsrechte und Benutzeranmeldung |
– Passwortmanagement | |
A.10 Kryptografie | – Verschlüsselungspolitik |
– Schlüsselmanagement | |
A.11 Physische und Umgebungssicherheit | – Zugangsbeschränkungen zu sicheren Bereichen |
– Schutz vor externen und Umweltbedrohungen | |
A.12 Betriebliche Sicherheit | – Änderungsmanagement |
– Sicherheitsüberprüfungen von Systemen und Anwendungen | |
A.13 Kommunikationssicherheit | – Netzwerk- und Informationssicherheit |
– Datenaustauschpolitik und -verfahren | |
A.14 Systemakquisition, -entwicklung und -wartung | – Sicherheitsanforderungen für Informationssysteme |
– Sicherheit von Anwendungs- und Systemsoftware | |
A.15 Lieferantenbeziehungen | – Sicherheitsanforderungen für Lieferanten und Vertragspartner |
– Lieferanten- und Dienstleisterbewertung | |
A.16 Managementsystem für Informationssicherheitsvorfälle | – Melden von Informationssicherheitsvorfällen |
– Reaktion auf Informationssicherheitsvorfälle | |
A.17 Aspekte der Informationssicherheit bei Geschäftskontinuität | – Geschäftskontinuitätsplanung im Zusammenhang mit Informationssicherheit |
Aktualisierung
Die Risikoeinschätzung und die Risikobehandlung sind regelmäßig zu überprüfen und gegebenenfalls anzupassen. Etwa bei organisatorischen Änderungen, technische Änderungen oder Veränderungen im Geschäftsumfeld z.B. neue Kunden etc…
Berichtswesen
Die im Risikobehandlungsplan aufgeführten Maßnahmen müssen auf ihren Fortschritt regelmäßig überprüft werden. D.h., wie in jeden Maßnahmenplan müssen Sie die Umsetzung regelmäß überprüfen und gegebenenfalls eine Eskalation durchführen, wenn Sie merken, dass die Umsetzung nur schleppend oder zeitverzögert durchgeführt wird. Dazu sollten Sie regelmäßig einen Bericht bzw. Protokoll über den Fortschritt der Umsetzung von Maßnahmen erstellen und an die oberste Leitung berichten.