Der sycat Wissensblog - Risikomanagement nach ISO 27001

Risikomanagement Definition nach ISO 27001

Risikomanagement bedeutet das Identifizieren von Risiken und deren darauffolgende Behandlung. Nachdem Risiken für die Informationssicherheit bei einem Schadensfall den Fortbestand Ihres Unternehmens gefährden können, ist ein sorgfältiges Risikomanagement enorm wichtig. Die Norm ISO 27001 bietet eine Anleitung für einen solchen Prozess und die Grundlage für eine Zertifizierung.

Der Zugang zum Risikomanagement

Die Anleitungen in einer Norm wie der ISO 27001 und andere Checklisten sind nützlich und können für eine Zertifizierung notwendig sein. Sie sollten trotzdem der Versuchung widerstehen, diese Dokumente als eine Reihe von abzuhakenden Punkten zu betrachten. Stattdessen ist es wichtig, die Risiken vom Verursacher oder Angreifer her zu betrachten. Wo kann der größte Schaden entstehen und wie ließe er sich am einfachsten anrichten? Auf diese Weise kommen Sie schnell zu den wesentlichen Punkten, die für die Informationssicherheit in Ihrem Unternehmen gelöst werden müssen.

ISO 27001 für ISMS

ISMS oder Informationssicherheitsmanagementsysteme werden von der Norm ISO 27001 behandelt, die eine Anleitung zum Schutz der Informationswerte in Ihrem Unternehmen darstellt. Wie allgemein im Bereich der Informationssicherheit liegt der Fokus auf der Sicherstellung der Triade CIA oder Confidentiality, Integrity und Availability, also Vertraulichkeit, Integrität und Verfügbarkeit. Das Ziel eines ISO 27001 Compliance-Prozesses ist der Nachweis, dass Risiken für die Informationssicherheit in einem Unternehmen effektiv gemanagt werden.

P.D.C.A - Plan, Do, Check, Act

Der Ablauf des Risikomanagements

Die Norm ISO 27001 definiert Richtlinien und Abläufe für dieses Risikomanagement. Die Methodik selbst kann von Ihnen gewählt werden und wird sinnvollerweise auf die Anforderungen in Ihrem Unternehmen angepasst. Diese Methodik muss aber dokumentiert werden.
Es ist wichtig darauf hinzuweisen, dass das Risikomanagement kein einmaliger, sondern ein regelmäßig durchzuführender Prozess ist. Das ist auch naheliegend, denn auch die Risiken verändern sich. Der Prozess zu ihrem Management besteht aus zwei wesentlichen Teilen.

  • Risikobeurteilung

Sie besteht aus der Identifikation, der Analyse und der Bewertung von Risiken.

  • Risikobehandlung

Nicht akzeptable Risiken werden in diesem Schritt vermieden, zumindest reduziert oder verlagert. Dafür wird ein Plan für die Umsetzung erstellt.

Die einzelnen Schritte

Identifikation der Risiken

Dabei geht es um das Feststellen der zu schützenden Werte. Für diese Aufstellung sollten Sie auf alle personellen Ressourcen im Unternehmen zurückgreifen. Oft ist dem oberen Management nicht klar, welche Werte im Informationssicherheitsbereich überhaupt vorhanden sind. Eng damit zusammenhängend ist eine Auflistung der Bedrohungen und der potenziellen Schwachstellen.

Analyse

Diese besteht in der Abschätzung der Eintrittswahrscheinlichkeit eines Risikos und der Größe des dann eintretenden Schadens. Nach Möglichkeit sollte diese Einschätzung quantitativ erfolgen. Welche Beträge werden riskiert und welche Folgen hätte ein entsprechender Verlust für Ihr Unternehmen? Im Zuge dieser Abschätzungen wird schnell klar werden, ob ein solches Risiko akzeptiert werden kann oder nicht.

Behandlung

Kann ein Risiko akzeptiert werden, sind keine weiteren Schritte mehr nötig. Auch diese Entscheidung muss aber dokumentiert werden.

Ist ein Risiko nicht akzeptabel, muss ein Plan zur Reduktion dieses Risikos gefasst und umgesetzt werden. Ein Risiko lässt sich vermeiden, indem Schwachstellen behoben werden. Es lässt sich durch solche Maßnahmen oft zumindest reduzieren und damit in den Bereich eines akzeptablen Risikos bringen. Auch eine Möglichkeit ist eine Übertragung des Risikos. Das kann in der Form einer Versicherung erfolgen oder in einer Auslagerung der entsprechenden Aktivität. Das Risiko muss dann vom externen Auftragnehmer übernommen und bewältigt werden.

Dokumentation

Für eine ISO 27001-Zertifizierung ist ein sogenannten SoA oder Statement of Applicability zu erstellen. In dieser Erklärung der Anwendbarkeit ist eine Liste der Maßnahmen enthalten, die zur Behandlung von Risiken beschlossen wurden. Dazu sind die Namen der Verantwortlichen zu nennen. Die Maßnahmen sind zu begründen und es ist festzulegen, welche Art der Kontrollen über die Durchführung vorgesehen sind. Dieses Dokument stellt eine wichtige Grundlage für die Arbeit der Zertifizierungsauditoren dar.

Fazit

Das Ziel der Reduzierung von Risiken in Ihrem Unternehmen kann quasi nur erreicht werden, wenn eine Methode zur systematischen Beurteilung dieser stattfindet. Die ISO 27001-Risikoanalyse stellt dabei den Grundstein – die Risikobehandlung die logische Folgerung.

Sie haben hier aber nur einen groben Überblick erhalten in welchem Rahmen sich eine ISO/IEC 27001-Zertifizierung bewegt – eine vollständige Abhandlung, um alle Inhalte der Norm ISO 27001 zu vermitteln, bedarf es komplexeres Wissen.

Unsere Berater geben Ihnen Antworten auf offene Fragen und zeigen Ihnen bei Bedarf Möglichkeiten zur Durchführung von ISO 27001-Risikobewertungen.