ISMS

IT-Sicherheits- und Risikomanagement

IT-Sicherheits- und Risikomanagement

Risikomanagement

Das Ziel des IT-Sicherheitsmanagements ist die Risikoreduktion im Gesamtrisikos bis zum akzeptierbaren respektive tragbaren Restrisiko:

Risikovermeidung: Dabei werden Risiken, denen ausgewichen werden kann, vermieden. Dies kann beispielsweise die Wahl eines geeigneten Raums oder der Aufstellungsort eines Servers sein.

Risikoverminderung durch Schutzmassnahmen: Entgegen der Vermeidung, werden hier Risiken teilweise akzeptiert. Durch geeignete Schutzmassnahmen werden diese Risiken vermindert. Dies kann beispielsweise das Patchen von Systemen sein.

Risikobegrenzung: Durch geeignete Massnahmen wird bei Eintreten eines Risikos der Schaden begrenzt. Dies können beispielsweise Feuerlöschsysteme in einem Raum sein.

Risikoüberwälzung: Bei der Risikoüberwälzung wird das Risiko durch faktische oder vertragliche, teilweise oder vollständig an Dritte übertragen. Dies kann beispielsweise durch Versicherungen der Fall sein oder die Abwälzung auf Vertragspartner.

Risikoakzeptanz: Die Vermeidung, Verminderung und Überwälzung von Risiken kann die Risiken nicht vollständig ausschliessen. Das verbleibende Restrisiko muss das Unternehmen akzeptieren und selbst tragen.

 

Abbildung 4

Abbildung 4

 

Das Risikomanagement ist ein ständiger Prozess. Es ist wichtig, regelmäßig die Risiken zu überarbeiten. Sind neue Risiken entstanden? Haben sich Risiken verändert? Es gilt diese Risiken zu erkennen und in einem weiteren Schritt diese zu bewerten. Folgende Schritte sind daher ständig durchzuführen:

  • Risiken sind zu erkennen
  • Risiken sind in Bezug auf die Geschäftseinflüsse und die Eintrittswahrscheinlichkeiten zu bewerten
  • Die Eintrittswahrscheinlichkeiten und Konsequenzen dieser Risiken sind abzuschätzen
  • Es müssen Prioritäten zur Abschwächung der Risiken definiert werden
  • Alle involvierten Parteien und Personen müssen informiert und, falls notwendig, geschult werden
  • Die getroffenen Massnahmen müssen auf ihre Effektivität überwacht werden
  • Es müssen geeignete Möglichkeiten zur Abwälzung der Risiken gesucht und umgesetzt werden
  • Die Restrisiken müssen bewusst getragen werden

 

Ablauf nach ISO 27005

Abbildung 5: Ablauf nach ISO 27005

Standards in diesem Bereich

ISO/IEC 27005
Titel: Informationstechnik
Arbeitsgebiet:IT-Sicherheitsverfahren
Name des Standards:Information Security Risk Management Management von Informationssicherheitsrisiken
ISO/IEC 27014
Titel: Informationstechnik
Arbeitsgebiet:IT-Sicherheitsverfahren
Name des Standards:Governance of information security Governance der Informationssicherhei
BSI-Standard 200-3
Titel: Informationstechnik
Arbeitsgebiet:IT-Sicherheitsverfahren
Name des Standards:BSI-Standard 200-3: Risikomanagement