Sieben einfache Schritte zur Entwicklung einer erfolgreichen ISO 27001-Risikobewertung
Um die Anforderungen der ISO 27001 zu erfüllen, sollte Ihre Risikobewertung aus den folgenden sieben Schritten bestehen:
1. Eine einheitliche Herangehensweise für die ISO 27001-Risikobewertung festlegen
Es ist wichtig, bei der Risikobewertung in Ihrer Organisation für Konsistenz zu sorgen. Sie sollten dementsprechend Richtlinien definieren, die den Prozessablauf für alle Bereiche in Ihrer Organisation festlegen. Unterschiedliche Herangehensweisen bei der Risikobewertung verkomplizieren den Vorgang unnötig.
Deshalb sollten Sie organisationsübergreifend festlegen, ob Sie eine qualitative oder quantitative Risikobewertung vornehmen wollen, welche Maßstäbe für eine mögliche qualitative Bewertung gelten sollen und welches Risikomaß akzeptabel ist.
Bei der Entwicklung einer formellen Risikobewertungsmethodik sind darüber hinaus die folgenden Faktoren zu berücksichtigen:
2. Eine Liste der potenziellen Risikoszenarien Ihres Unternehmens erstellen
In diesem Schritt gibt es zwei verschiedene Herangehensweisen. Die erste Methode ist Szenario-basiert. Hier konzentriert sich Ihr Unternehmen vorrangig auf Szenarien, die eine Bedrohung darstellen können. Risikofaktoren sind in diesem Bericht leicht zu erkennen, wodurch die Ermittlung von Risiken beschleunigt wird.
Die zweite Methode ist Asset-basiert – das heißt, der Fokus liegt auf dem Risiko in Bezug auf die Informations-Assets des Unternehmens. Die Gefahrenerkennung dauert hier länger.
3. Risiken identifizieren
Sobald Sie sich mit den Vorgaben vertraut gemacht haben, können Sie damit beginnen, potenzielle Probleme zu identifizieren. Nutzen Sie dazu unsere Bibliothek aus vorgefertigten Risikoszenarien, die Sie auf unserer Plattform finden, oder fügen Sie Ihre eigenen hinzu.
4. Risikoauswirkung einschätzen
Risiken können unterschiedlich schwerwiegende Auswirkungen haben. Daher ist es entscheidend, zu erkennen, welche Risiken vorrangig behandelt werden müssen. Bewerten und kategorisieren Sie Risiken deshalb nicht nur nach ihrer Eintrittswahrscheinlichkeit, sondern auch nach dem potenziellen Schaden, den sie verursachen können.
Wir empfehlen Ihnen, anhand dieser Kriterien und Ihrer Risikobereitschaft eine Checkliste mit den priorisierten Risiken zu erstellen, die Maßnahmen erfordern. Risikoanalysen dieser Art ermöglichen eine konsistente und übersichtliche Bewertung der Gefahren, mit denen Ihre Organisation konfrontiert ist.
5. Erklärung zur Anwendbarkeit erstellen
In der Erklärung zur Anwendbarkeit (Statement of Applicability) wird das Sicherheitsprofil Ihrer Organisation dargestellt. Sie müssen hier alle angewandten Kontrollmechanismen aufführen und angeben, warum und wie Sie diese auf Basis der ISO 27001-Risikobewertung implementiert haben.
Das Statement of Applicablility ist ein zentrales Dokument für die Zertifizierung. Mehr dazu finden Sie in unserem umfassenden Artikel zu diesem Thema.
6. Einen Risikobehandlungsplan erstellen
Die ISO 27001 gibt vor, dass für alle Risiken Risikoeigentümer identifiziert werden müssen. Sie genehmigen Strategien zur Risikominderung und bestätigen das Niveau des Restrisikos.
7. Interne Prüfungen, Audits und Kontrollen
Die Abläufe in Ihrer Organisation ändern sich im Laufe der Zeit und dies gilt auch für Bedrohungen. Deshalb sollte die Risikobewertung jährlich wiederholt werden. Wir empfehlen Ihnen, diese Gelegenheit zu nutzen, um Ihr ISMS stetig zu verbessern. Erfahren Sie mehr zum internen Audit Ihrer Informationssicherheit in diesem Artikel.