Startseite » Informationsmanagementsysteme » Risikoeinschätzung und Risikobehandlung ISO 27001

Risikoeinschätzung und Risikobehandlung ISO 27001

Die Risikoeinschätzung (Risikobewertung) ist der aufwendigste Teil, den Sie neben der Risikobehandlung bei der Einführung des ISMS ISO 27001 bearbeiten müssen. Der Sinn der Risikoeinschätzung in der ISO 27001 besteht darin, alle potenziellen Vorfälle im Vorfeld zu betrachten, zu bestimmen, zu bewerten und geeignete Maßnahmen, beispielsweise aus dem Annex A der 27001, umzusetzen. Dabei sollte der Fokus auf die Vorfälle gerichtet werden, die den grössten Schaden anrichten können.

In der Risikobewertung sind zunächst alle Assets (Vermögenswerte) aufzulisten, die eine Auswirkung auf Vertraulichkeit, Integrität und Verfügbarkeit haben können und im darauffolgenden Schritt die Bedrohungen und Schwachstellen, die in direkten Zusammenhang mit den Assets stehen. Diese müssen den Assets zugeordnet werden. Danach erfolgt im nächsten Schritt die Bewertung dieser Risiken anhand von Auswirkungen und Wahrscheinlichkeiten. Eine hohe Auswirkung muss nicht zwingend eine Maßnahme definieren sofern die Wahrscheinlichkeit, dass diese Auswirkung eintrifft, sehr gering ist.

Risikobehandlungsplan

Die Risikobehandlung (Risikobehandlungsplan) ist der nächste Schritt nach der Risikoeinschätzung und sorgt für die Umsetzung. Im Risikobehandlungsplan werden die notwendigen Ressourcen, Verantwortlichkeiten, Budget etc. festgelegt. Dieser Risikobehandlungsplan muss durch die oberste Leitung freigegeben und genehmigt werden. Vorallem einzelne Maßnahmen aus der Risikoeinschätzung sind teilweise mit erheblichen Kosten verbunden, die durch die oberste Leitung bzw. durch das Top Management freigegeben werden müssen. Sofern Sie ausgelagerte bzw. ausgegliederte Prozesse haben, sind diese ebenfalls in der Risikoeinschätzung zu hinterfragen. Oftmals ist ein Vertrag zwischen Unternehmen und Dienstleister ausreichend.

Prozess Risikoeinschätzung Risikobehandlung ISO 27001
Prozess Risikoeinschätzung Risikobehandlung ISO 27001

Aktualisierung

Die Risikoeinschätzung und die Risikobehandlung sind regelmäßig zu überprüfen und gegebenenfalls anzupassen. Etwa bei organisatorischen Änderungen, technische Änderungen oder Veränderungen im Geschäftsumfeld z.B. neue Kunden etc…

Berichtswesen

Die im Risikobehandlungsplan aufgeführten Maßnahmen müssen auf ihren Fortschritt regelmäßig überprüft werden. D.h., wie in jeden Maßnahmenplan müssen Sie die Umsetzung regelmäß überprüfen und gegebenenfalls eine Eskalation durchführen, wenn Sie merken, dass die Umsetzung nur schleppend oder zeitverzögert durchgeführt wird. Dazu sollten Sie regelmäßig einen Bericht bzw. Protokoll über den Fortschritt der Umsetzung von Maßnahmen erstellen und an die oberste Leitung berichten.

Kontakt

nv-author-image

Stefan Stroessenreuther

Consulting Qualitätsmanagement ISO 9001 | IATF 16949 Personenzertifizierter IATF 16949 und VDA 6.3 Auditor | Dozent IMB IntegrationsModell Bayreuth | Mitglied DGQ - Deutsche Gesellschaft für Qualität

Schlagwörter: