• blogangle-right
  • Der ISO 27005 Ansatz für das Informationssicherheits-Risikomanagement: Updates 2022 erklärt

Table of Contents

Der ISO 27005 Ansatz für das Informationssicherheits-Risikomanagement: Updates 2022 erklärt

  • November 01, 2023
Author

Emily Bonnie

Content-Marketing

Reviewer

Cavan Leung

Leitender Compliance-Manager

ISO 27005 ist einer der bekanntesten und angesehensten Ansätze für das Informationssicherheits-Risikomanagement.

Wie funktioniert der Standard? Für wen ist er gedacht? Wie schneidet er im Vergleich zu anderen Risikomanagementmethoden ab?

Einfach ausgedrückt beschreibt ISO 27005 den Prozess der Durchführung einer Informationssicherheits-Risikoanalyse, die die Anforderungen von ISO 27001 erfüllt. Lesen Sie weiter, um alles über ISO 27005 und die neuesten Updates 2022 des Standards zu erfahren.

Was ist Informationssicherheits-Risikomanagement?

Bevor wir uns ISO 27005 zuwenden, lassen Sie uns das Informationssicherheits-Risikomanagement definieren.

Informationssicherheits-Risikomanagement ist der Prozess des Verständnisses, welche Ereignisse Ihre Informationswerte beeinträchtigen könnten und welche Konsequenzen sie haben könnten. Wie bei allen anderen Arten von Risiken hilft Ihnen das Erkennen der Bedrohungen für Ihre Informationswerte, eine wirksame Strategie zu ihrem Schutz zu entwickeln.

Es ist wichtig zu beachten, dass es beim Informationssicherheits-Risikomanagement nicht darum geht, alle Risiken vollständig zu eliminieren. Nichts im Geschäftsleben (oder im Leben allgemein) ist völlig risikofrei - in der Tat bedeutet das Entfernen jedes Risikos oft auch das Entfernen jeder Chance.

Stattdessen geht es beim Risikomanagement darum, ein Risikotoleranzniveau zu verstehen und zu definieren, das für Ihr Unternehmen angemessen ist, und dann eine Strategie zu entwickeln, um das Risiko zu adressieren, damit Sie das richtige Gleichgewicht erreichen und aufrechterhalten können.

Empfohlene Lektüre

Wie man eine ISO 27001 Risikoanalyse durchführt

Der ISO 27005 Ansatz für das Risikomanagement

ISO 27005 ist Teil der ISO 27000 Familie von Standards, die von der Internationalen Organisation für Normung (ISO) und der Internationalen Elektrotechnischen Kommission (IEC) erstellt wurden. Es hilft Organisationen bei der Erstellung, Überwachung und kontinuierlichen Verbesserung eines Informationssicherheits-Managementsystems (ISMS).

ISO 27005 konzentriert sich speziell auf das Informationssicherheits-Risikomanagement. Der internationale Standard bietet einen organisierten, systematischen Ansatz zur Identifizierung, Bewertung und Verwaltung von Risiken im Zusammenhang mit der Informationssicherheit.

  • ISO 27001: Setzt Anforderungen zur Erstellung, Überwachung und Verbesserung eines ISMS
  • ISO 27002: Legt Sicherheitskontrollen zum Schutz des ISMS fest
  • ISO 27005: Bietet ein Risikomanagement-Rahmenwerk für das ISMS

Die Einhaltung der ISO 27005 ist keine gesetzliche oder regulatorische Anforderung. Sie ist jedoch ein angesehener Ansatz für das Risikomanagement, der branchenübergreifend angewendet werden kann und daher bei Organisationen, die nach einer formalen Risikomanagementmethodik suchen, beliebt ist.

Für Unternehmen, die ISO 27001 zur Verwaltung eines ISMS verwenden, ist ISO 27005 eine klare Wahl, um die Komponente des Risikomanagements zu adressieren. Aber selbst Organisationen, die nicht nach ISO 27001 zertifiziert sind, profitieren von der Nutzung des Risikomanagement-Standards. CISOs, Compliance-Beauftragte, IT-Profis und andere Führungskräfte verlassen sich auf ISO 27005, um ihre Risikomanagement-Aktivitäten zu leiten und fundierte Entscheidungen in Bezug auf Bedrohungen und Schwachstellen zu treffen.

Framework Purpose Governing Body Process Pros Method Cons
ISO 27005 Provides guidelines for creating, implementing, maintaining, and improving information security risk management in support of an Information Security Management System (ISMS) International Organization for Standardization (ISO) and International Electrotechnical Organization (IEC) Context establishment, risk identification, risk analysis, risk evaluation, and risk treatment Flexible, repeatable process; integration with ISO 27001 No specific ISO 27005 certification
NIST 800-53 Offers a systematic process for understanding vulnerabilities and threats to IT systems National Institute of Standards and Technology (NIST)a Threat and vulnerability identification, likelihood and impact determination, risk determination, control analysis Detailed guidance; integration with NIST RMF Certain guidelines may be too specific to US federal agencies
OCTAVE Focuses on risk-based information security strategies tailored to an organization's specific business needs and environment Software Engineering Institute (SEI) at Carnegie Mellon University Identify goals, key assets, and threats; evaluate vulnerabilities against threats; develop risk mitigation plan and information protection strategy based on identified risks Takes a holistic view of both organizational and technological risk May need specific training in OCTAVE method

Vorteile von ISO/IEC 27005 für das Informationssicherheits-Risikomanagement

Warum entscheiden sich Organisationen für ISO 27005 gegenüber anderen Risikomanagementmethoden?

  • Flexibilität: ISO 27005 ermöglicht es Organisationen, ihren eigenen Ansatz basierend auf ihren einzigartigen Geschäftsanforderungen und Zielen zu definieren.
  • Klarer, wiederholbarer Prozess: ISO 27005 legt fünf Schritte zur Identifizierung und Verwaltung von Informationssicherheitsrisiken fest. Es ist ein gründlicher Prozess, der sicherstellt, dass Organisationen ihre Bedrohungslandschaft vollständig adressieren, und aufgrund seiner Wiederholbarkeit stellt er sicher, dass Organisationen neuen Bedrohungen gerecht werden können, da sich die Landschaft weiterentwickelt.
  • Compliance: Wenn Sie eine ISO 27001-Zertifizierung anstreben oder aufrechterhalten müssen, stellt die Befolgung von ISO 27005 sicher, dass Sie die Anforderungen des Risikomanagements erfüllen.

ISO/IEC 27005:2022: Die neuesten Updates der Norm

Im Oktober 2022 veröffentlichte die ISO eine aktualisierte Version der Norm: ISO 27005:2022. Dieses Update ersetzt die vorherige Version, ISO 27005:2018.

ISO 27005:2022 führt mehrere neue Änderungen ein, um die Terminologie und Struktur der Norm besser mit den neuesten Updates der ISO 27001:2022 in Einklang zu bringen.

Hier eine Zusammenfassung der bedeutendsten Änderungen:

  1. ISO 27005:2022 konsolidiert die 12 Klauseln und sechs Anhänge der Version von 2018 in zehn Klauseln und einen Anhang.
  2. Sie etabliert einen neuen Risikomanagementprozess mit fünf Schritten: Kontextbestimmung, Risikoidentifikation, Risikoanalyse, Risikobewertung und Risikobehandlung. (Die Phase der Risikoakzeptanz wurde entfernt und eine neue Klausel eingeführt: 8.6.3. Akzeptanz des verbleibenden Informationssicherheitsrisikos. Die Risikoakzeptanz wird nun nach der Risikobehandlung entschieden.)
  3. Sie führt einen neuen Prozess zur Identifizierung von Informationssicherheitsrisiken ein. Das Update von 2022 beschreibt zwei Ansätze:
  • Ereignisbasierter Ansatz: Dabei werden Risikoursachen identifiziert und der gesamte Bedrohungslandschaft berücksichtigt, um die Konsequenz und Schwere jedes gegebenen Risikoszenarios zu definieren.
  • Asset-basierter Ansatz: Dabei werden assetspezifische Bedrohungen und Schwachstellen identifiziert, deren Wahrscheinlichkeit bestimmt und spezifische Optionen zur Risikobehandlung definiert.

Erste Schritte: So managen Sie Informationssicherheitsrisiken mit ISO 27005:2022

ISO 27005 beschreibt fünf Schritte zur Identifizierung, Bewertung und Behandlung von Informationssicherheitsrisiken. 

Schritt 1: Kontextfestlegung

Dieser Schritt dreht sich darum, die Ziele und Kriterien für das Management von Informationssicherheitsrisiken festzulegen. Sie müssen wichtige Stakeholder zusammenbringen und Fragen wie diese beantworten: 

  • Was sind Ihre Ziele in Bezug auf Informationssicherheit und wie passen sie zu Ihren allgemeinen Geschäftszielen?
  • Welche vertraglichen, regulatorischen und Compliance-Anforderungen müssen berücksichtigt werden?
  • Welche anderen Risikomanagementansätze gibt es innerhalb der Organisation und wie wird der Prozess des Informationssicherheitsrisikomanagements mit ihnen abgestimmt, um Konsistenz zu gewährleisten?
  • Wie wird Ihre Organisation entscheiden, welche Informationssicherheitsrisiken akzeptiert und welche gemindert werden sollen?

Schritt 2: Risikoidentifikation

ISO 27005:2022 beschreibt zwei komplementäre Ansätze zur Risikoidentifikation: ereignisbezogen und asset-basiert. Organisationen können sich entscheiden, einen dieser Ansätze unabhängig voneinander durchzuführen oder beide zusammen zu verwenden. 

  • Ereignisbezogener Ansatz: Was sind die Hauptereignisse oder Szenarien, die ein Risiko darstellen? Dieser Ansatz konzentriert sich auf die allgemeine Bedrohungslandschaft der Organisation. 
  • Asset-basierter Ansatz: Was sind die Hauptsicherheitsrisiken und Schwachstellen, die mit jedem Informationsasset verbunden sind? Dieser Ansatz ist detaillierter und fokussiert sich auf die spezifischen Assets und die Architektur der Organisation. 

Schritt 3: Risikoanalyse

Beim Schritt der Risikoanalyse geht es darum, herauszufinden, welche Systeme, Dienstleistungen und Daten gefährdet sind und wie schwerwiegend jedes Risiko oder jede Schwachstelle ist.

Während frühere Versionen von ISO 27005 einen qualitativen und quantitativen Risikoanalyseansatz verwendeten, fügen die Aktualisierungen von 2022 die semiquantitative Risikoanalyse hinzu. 

  • Qualitativer Ansatz: Betrachten Sie verschiedene Szenarien und beantworten Sie „Was-wäre-wenn“-Fragen, um Risiken zu identifizieren. 
  • Quantitativer Ansatz: Verwenden Sie Daten und Zahlen, um Risikostufen zu definieren. 
  • Semiquantitativer Ansatz: Einige Aspekte (wie die Wahrscheinlichkeit) werden mit statistischen Methoden quantifiziert, und andere (wie die Auswirkungen) werden mit subjektiven Methoden wie Expertenmeinungen definiert. 

Schritt 4: Risikobewertung

Sobald die Risiken analysiert wurden, müssen Organisationen entscheiden, wie sie auf jedes einzelne reagieren. Sie müssen jedes Risiko mit den in Schritt eins definierten Akzeptanz- oder Toleranzkriterien vergleichen. Welche Risiken fallen innerhalb der akzeptablen Grenzen und welche müssen behandelt werden? Dieser Prozess hilft Ihnen, Risiken zu priorisieren, damit Sie sie systematisch behandeln können.

Schritt 5: Risikobehandlung

Während ISO 27005:2022 keine spezifischen Risikobehandlungsoptionen angibt, hat der vorherige Standard von 2018 vier Möglichkeiten detailliert beschrieben:

  • Risikominderung: Implementieren Sie Informationssicherheitskontrollen, um die Wahrscheinlichkeit oder die Auswirkungen des Risikos zu verringern.
  • Risikovermeidung: Vermeiden Sie das Risiko, indem Sie die Umstände verhindern, unter denen es auftreten könnte.
  • Risikotransfer: Teilen oder übertragen Sie das Risiko auf einen Dritten, z.B. durch den Abschluss einer Versicherung.
  • Risikoakzeptanz: Akzeptieren Sie das Risiko, weil die Kosten für dessen Behandlung den potenziellen Schaden übersteigen.

ISO 27005:2022 betont stattdessen die Verantwortung der Risikoeigentümer bei der Erstellung und Genehmigung des Risikobehandlungsplans und der Akzeptanz verbleibender Risiken. Risikoeigentümer müssen bei der Entscheidung, welche Kontrollen implementiert werden, um Risiken zu behandeln, einbezogen werden.

Darüber hinaus verbindet das Update von 2022 ISO/IEC 27005 enger mit ISO/IEC 27001 und ISO/IEC 27002 durch die Einführung der Statement of Applicability. Im Rahmen des Risikobehandlungsprozesses müssen alle zur Risikomodifikation verwendeten Sicherheitskontrollen mit denen in ISO 27001 Anhang A verglichen werden.

Empfohlene Lektüre

Was sind ISO 27001 Kontrollen? Ein Leitfaden zu Anhang A

Automatisierung des Informationssicherheits-Risikomanagement-Prozesses nach ISO 27005

Secureframe's Risikomanagementlösung basiert auf dem ISO 27005 Standard, vereinfacht die ISO-Konformität und macht es einfach, sowohl ereignis- als auch assetbasierte Risikoszenarien für Ihre Organisation zu identifizieren.

  • KI-gesteuerter Risikobewertungs-Workflow: Comply AI for Risk automatisiert den Risikobewertungsprozess mithilfe künstlicher Intelligenz. Erhalten Sie sofortige Einblicke in jedes Risiko basierend auf Ihren Organisations- und Unternehmensinformationen, einschließlich potenzieller Auswirkungen, Wahrscheinlichkeit und empfohlener Behandlung.
  • Risiko-Bibliothek: Wählen Sie aus vorgefertigten Risiken, um Bedrohungen für Ihre Organisation und Assets schnell zu identifizieren, einschließlich IT-, rechtlicher und finanzieller Risikokategorien.
  • Risiko-Register + Historie: Dokumentieren und überwachen Sie einfach alle Ihre Risiken in einer Tabellenansicht, einschließlich Risikobeschreibung, Kategorie, zugewiesenem Verantwortlichen, Risikowertung, Behandlung, Rest-Risikowertung und Status. Sehen Sie sich den Risikoverlauf an, um Auditoren und Stakeholdern leicht die Verbesserungen zu zeigen, die Sie zur Verringerung des Risikopotenzials vorgenommen haben.
  • Kontrollverknüpfung: Verknüpfen Sie mildernde Sicherheitskontrollen mit spezifischen Risiken, um Ihre Compliance- und Risikomanagement-Programme nahtlos auszurichten und schnell Lücken zu identifizieren.

Sehen Sie, warum Secureframe die führende Plattform für Sicherheits- und Compliance-Automatisierung ist — vereinbaren Sie noch heute eine Demo mit einem Produktexperten.

Nutzen Sie Vertrauen, um Wachstum zu beschleunigen

Fordern Sie eine Demo anangle-right
cta-bg