ISO31000: Die drei Stufen des Risikobewertungsprozesses

Mithilfe von ISO 31000 können Sie eine Risikobewertung für das Unternehmen durchführen. Es handelt sich hierbei um eine Alternative zu ISO/IEC 27001.

Eine der zentralen Prämissen des Standards ISO/IEC 27001 in Bezug auf Informationssicherheit ist, dass ein Unternehmen eine formelle Risikobewertung durchführt. Damit werden die Risiken identifiziert, analysiert und evaluiert, die ein Unternehmen bedrohen. In den letzten Revisionen des Standards wurden Anforderungen entfernt, die einen spezifischen Prozess definierten, den eine Firma verfolgen musste, um diese Standards zu erreichen. Wollen Unternehmen ISO umsetzen, dann möchten sie sich möglicherweise an den Risikobewertungsprozess von ISO 31000 halten. ISO 31000 schlägt einen dreistufigen Prozess für die Risikobewertung vor, der konform zu den von der Branche akzeptierten Best Practices ist.

Erster Schritt: Den Umfang festlegen

In der ersten Stufe des Risiko-Managements nach ISO 31000 sollten Firmen die Risikobewertung im Kontext zu internen als auch externen Faktoren etablieren. In dieser Stufe legen Sie die gewünschten Ziele und das Ausmaß der Risikobewertung fest. Das Unternehmen sollte eine klare Aussage zu Sinn und Zweck in Bezug auf die Bewertung haben. Jeder, der involviert ist, muss verstehen, welche Business-Prozesse und Technologien benötigt werden.

Nachdem Ziele und Umfang festgelegt sind, sollte das Unternehmen die Faktoren ansprechen, die die Bewertung beeinflussen. Das beinhaltet normalerweise auch externe Faktoren wie zum Beispiel die rechtlichen und regulatorischen Rahmenbedingungen, politische Überlegungen, ökonomische Umstände und die Ansichten externer Interessengruppen. Ebenso sind interne Faktoren wie zum Beispiel Organisationsstruktur, Unternehmensführung (Corporate Governance), Business-Prozesse und Technologien zu beachten.

Zweiter Schritt: Risikobewertungs-Prozess

Die Phase der Risikobewertung hat drei Ziele:

  • Identifikation der Risiken
  • Risikoanalyse
  • Risikoevaluierung

Während der Risikoidentifikation entwickelt das Unternehmen eine umfassende Liste der Risiken, die einem Erreichen der Ziele im Weg stehen könnten. Ebenso berät man über die Gründe und mögliche Folgen, sollten sich diese Risiken einstellen. Diese Informationen fließen in die Risikoanalyse ein. Dort führt eine Firma qualitative und/oder quantitative Bewertungen dieser Risiken durch. Diese Risikobewertungsstufe endet in der Risikoevaluierung. Dort entscheidet ein Unternehmen, welche Risiken wesentlich genug sind, um mit aktivem Management zu antworten. Diese Liste wird natürlich auch entsprechend priorisiert.

Dritter Schritt: Risikobehandlung

Währen der Stufe der Risikobehandlung, die man häufig auch Risiko-Management-Stufe nennt, implementiert eine Firma Kontrollen, um die Risiken zu minimieren. Weiterhin wird die Effizienz dieser Kontrollen bewertet und zusätzliche eingesetzt, sollte das notwendig sein. Die in der Risikobehandlungsstufe ausgeführten Kontrollen enthalten möglicherweise Methoden, um die Wahrscheinlichkeit oder Auswirkung eines Risikos zu mindern. Eventuell lässt sich das Risiko auch komplett vermeiden, indem man Business-Prozesse umstellt. Auch kalkulierte Risiken sind denkbar, oder man überträgt die Risiken an einen Dritten, wie zum Beispiel einer Versicherung.

Ergänzende Prozesse

In ISO 31000 finden Sie neben den drei hauptsächlichen Prämissen für den Risikobewertungsprozess noch zwei genauso wichtige Prozesse. Diese sind zwar ergänzend, sollten aber in jeder Stufe der Bewertung durchgeführt werden. Wir sprechen hier von Kommunikation und Beratung oder Rücksprache sowie Monitoring und Review. Führen Unternehmen eine Bewertung durch, sollten Sie die Interessengruppen während des gesamten Prozesses auf dem Laufenden halten. Weiterhin ist Monitoring angesagt, damit man die Effizienz des Prozesses garantieren kann.

Fazit

Das ISO-31000-Framework ist eine ausgezeichnete Referenz für Unternehmen, die einen Risikobewertungsprozess planen. Es bietet eine nützliche Herangehensweise für selbstinitiierte Bewertungen. Das gilt auch für solche, die durch Regularien vorgeschrieben werden, wie das bei der Zertifizierung nach ISO 27001 und Payment Card Industry Data Security Standard (PCI DSS) der Fall ist. Wir haben Ihnen lediglich einen kurzen Überblick vermittelt, um den Prozess vorzustellen. Liebäugelt ein Unternehmen mit der Implementierung von ISO 31000, sollten die Verantwortlichen den kompletten Standard sorgfältig durchlesen.

Über den Autor:
Mike Chapple, Ph.D., CISA, CISSP, ist IT-Sicherheitsmanager an der University of Notre Dame. Zuvor hat er bei der National Security Agency und der U.S. Air Force im Bereich Informationssicherheit geforscht. Chapple schreibt regelmäßig Artikel für SearchSecurity.com, wo er auch als ständiger Experte für Compliance, Frameworks und Standards tätig ist. Außerdem ist er technischer Redakteur für das Magazin Information Security und Autor mehrere Bücher über Informationssicherheit, darunter CISSP Study Guide und Information Security Illuminated.

Folgen Sie SearchSecurity.de auch auf Facebook, Twitter und Google+!

Artikel wurde zuletzt im Juli 2015 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Enterprise-Risk-Management

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close