Aspekte in der Bewertung und Behandlung von Risiken und Chancen, die oft vernachlässigt werden (gemäß ISO 27001)
6.1 Behandlung von Risiken und Chancen (Risk and opportunities)
6.1.1 Erstellung eines Plans zur Behandlung von Risiken und Chancen und der Integration dessen in das ISMS (Strategie, Plan)
Berücksichtigung der Themen aus 4.1 und Anforderungen aus 4.2: (P.E.S.T.E.L.)*
Wirksamkeitskontrolle der implementierten Maßnahmen (J/N, wer, was, wann, wie…)
6.1.2 Risikobewertung:
Die Organisation muss einen Prozess definieren, welcher
- Kriterien für Bewertung und Risikoakzeptanz benennt,
- wiederholbare Ergebnisse bringt, (nachvollziehbar, erklärbar)
- Verlust von Vertraulichkeit, Integrität und Verfügbarkeit im ISMS Scope adressiert (V.I.V. oder C.I.A.),
- Risikoeigentümer festlegt, (Owner)
- Risikoeinschätzung, Bewertung der Eintrittswahrscheinlichkeit, und Analyse der Auswirkungen bestimmt, Risikoniveaus festlegt,
- Einfluss auf Kundenzufriedenheit und / oder auf die Qualität von Produkt & Dienstleistung
- Vergleich der Risiken mit den Risikokriterien durchführt,
- Priorisierung der Risikobehandlung durchführt.
Dokumentierte Bewertungen müssen vorliegen (Akte)
6.1.3 Risikobehandlung
Die Organisation muss einen Prozess definieren, welcher
- Die Auswahl von Maßnahmen zur Risikominderung durchführt,
- Die Implementierung der Maßnahmen verwaltet. (wer, was, wann, wie…)
Aspekte die zu berücksichtigen sind:
- Dokumentierte Risikoakzeptanz durch Risikoeigentümer
- Vergleich mit Anhang A der Norm 27001:2022 und referenzieren der Maßnahmen
Es muss eine Erklärung zur Anwendbarkeit erstellt werden (SOA: Statement of Applicability)
- Dokumentation der Gründe für Einbeziehung oder Nichteinbeziehung
8.2 Informationssicherheitsbewertung in geplante regelmäßige Intervalle, und ad-hoc wen nötig.
8.3 Implementation eines dokumentierten Informationssicherheit Risiko Maßnahmenplans ( = Risikoakte + Maßnahmenakte)
*) P.E.S.T.E.L. : Political – Economic – Social – Technological – Environmental – Legal
Konstantin Ziouras Blog Artikel
