Im Wesentlichen ist der Zweck von ISO 27001 ziemlich einfach. Identifizieren Sie die Sicherheitsvorfälle, die Ihr Unternehmen betreffen könnten. Finden Sie dann die besten Möglichkeiten, um entweder diese Vorfälle zu verhindern oder ihre Auswirkungen zu verringern.
Risikobewertungen sind für diesen Zweck unerlässlich. Ohne eine solche haben Sie nicht das nötige Wissen, um überhaupt ein sicheres Informationssicherheitsmanagementsystem aufzubauen, geschweige denn eine ISO 27001 Zertifizierung zu erhalten.
In diesem Beitrag werden wir den schrittweisen Prozess der Durchführung einer ISO 27001 Risikobewertung darlegen.
Und wir werden einige Tipps, Vorlagen und Ressourcen teilen, um den Prozess auf dem Weg zu vereinfachen und zu optimieren.
Was ist eine ISO 27001 Risikobewertung?
Eine Risikobewertung ist eine Anforderung des ISO 27001 Standards. Wenn Sie zertifiziert werden möchten, müssen Sie:
- Identifizieren Sie die Risiken, denen Ihre Organisation ausgesetzt ist.
- Bestimmen Sie die Wahrscheinlichkeit, dass jedes Risiko tatsächlich eintritt.
- Schätzen Sie die potenziellen Auswirkungen auf Ihr Unternehmen ein.
Ein Risikobehandlungsplan beinhaltet die Entscheidung, wie Sie auf jedes Risiko reagieren, um Ihr Unternehmen zu sichern.
Zusammen bilden Ihre Risikobewertung und Ihr Risikobehandlungsplan Ihren gesamten ISO 27001 Risikomanagementprozess.
Zu den Anforderungen an die ISO 27001 Risikobewertung gehören:
- Festlegung festgelegter Kriterien zur Bewertung des Informationssicherheitsrisikos.
- Identifikation von Risiken für alle im ISMS-Geltungsbereich befindlichen Informationswerte.
- Zuordnung von Verantwortlichen für jedes Risiko.
- Schaffung eines wiederholbaren, konsistenten Risikobewertungsprozesses.
Empfohlene Literatur
Kosten der ISO 27001 Zertifizierung
Read MoreWie man eine Risikobewertung für ISO 27001 durchführt
Um die Anforderungen der ISO 27001 Zertifizierung zu erfüllen, sollte Ihr Verfahren zur ISO 27001 Risikobewertung die folgenden Schritte umfassen:
Wählen Sie Ihren Risikomanagementansatz.
Wie werden Sie Informationssicherheitsrisiken identifizieren und darauf reagieren? Wie werden Sie die Wahrscheinlichkeit und die Auswirkungen abschätzen? Welches Risikoakzeptanzniveau hat Ihr Unternehmen?
Im Allgemeinen gibt es zwei Ansätze für die Risikobewertung: qualitativ und quantitativ.
Bei einem qualitativen Ansatz durchlaufen Sie verschiedene Szenarien und beantworten „Was wäre wenn“-Fragen, um Risiken zu identifizieren. Ein quantitativer Ansatz verwendet Daten und Zahlen, um Risikostufen zu definieren.
Einige gängige Rahmenwerke für das Risikomanagement sind ISO 27005:2018, OCTAVE und NIST SP 800-30 Revision 1.
Unabhängig davon, welchen Ansatz oder welche Methodik Sie wählen, sollte das Unternehmensmanagement eng in diesen Prozess eingebunden sein. Sie werden maßgeblich dazu beitragen, die grundlegenden Sicherheitskriterien und das akzeptable Risikoniveau Ihrer Organisation festzulegen.
Und indem Sie Ihre Risikomanagementmethodik auf Unternehmensebene festlegen, kann jede Abteilung denselben kohärenten Prozess befolgen.
Risiken identifizieren
Beginnen Sie mit einer Liste von Informationswerten und identifizieren Sie dann Risiken, die die Vertraulichkeit, Integrität und Verfügbarkeit der Daten für jeden dieser Werte beeinträchtigen könnten. Sie müssen Ihre Hardware (einschließlich mobiler Geräte), Software, Informationsdatenbanken und geistiges Eigentum berücksichtigen.
Risiken analysieren
Sobald Sie eine Reihe von Risiken identifiziert haben, bestimmen Sie die potenzielle Wahrscheinlichkeit des Eintretens jedes einzelnen und dessen Geschäftsauswirkung. Denken Sie daran, dass die Auswirkung nicht immer monetär ist - sie könnte sich auf den Ruf Ihrer Marke und die Kundenbeziehungen, auf rechtliche oder vertragliche Probleme oder auf die Einhaltung gesetzlicher Vorschriften auswirken.
Weisen Sie jedem Risiko einen Wahrscheinlichkeits- und Auswirkungsscore zu. Auf einer Skala von 1-10, wie wahrscheinlich ist es, dass der Vorfall eintritt? Wie signifikant wäre dessen Auswirkung? Diese Scores helfen Ihnen, die Risiken im nächsten Schritt zu priorisieren.
Risiken bewerten und priorisieren
Kein Unternehmen verfügt über unbegrenzte Ressourcen. Sie müssen entscheiden, bei welchen Risiken Sie Zeit, Geld und Mühe investieren sollten und welche innerhalb Ihres akzeptablen Risikolevels liegen.
Nachdem Sie die Wahrscheinlichkeit und die Auswirkung jedes Risikos analysiert haben, können Sie diese Scores verwenden, um Ihre Risikomanagementbemühungen zu priorisieren. Eine Risikomatrix kann ein hilfreiches Werkzeug sein, um diese Prioritäten zu visualisieren.
Einen Risikobehandlungsplan erstellen
Der Risikobehandlungsplan ist ein wesentliches Dokument für die ISO 27001-Zertifizierung und wird von Ihrem Zertifizierungsauditor überprüft werden wollen. Er dokumentiert, wie Ihre Organisation auf die in Ihrer Risikoanalyse identifizierten Bedrohungen reagieren will.
Der ISO 27001-Standard beschreibt vier mögliche Maßnahmen:
- Das Risiko behandeln mit Sicherheitskontrollen, die die Eintrittswahrscheinlichkeit reduzieren
- Das Risiko vermeiden durch Vermeidung der Umstände, unter denen es eintreten könnte
- Das Risiko übertragen an Dritte (d.h., Sicherheitsbemühungen an ein anderes Unternehmen auslagern, eine Versicherung abschließen, etc.)
- Das Risiko akzeptieren, weil die Kosten der Behandlung höher sind als der potenzielle Schaden
ISO 27001 erfordert auch, dass jedem Risiko ein Besitzer zugewiesen wird. Der Besitzer ist dafür verantwortlich, Ihren Behandlungsplan für dieses Risiko zu genehmigen und etwaige Restrisiken zu akzeptieren.
Erstellen Sie einen Risikobericht
Ihr Zertifizierungsauditor wird wahrscheinlich Beweise dafür überprüfen wollen, dass Sie Ihren Risikomanagementprozess abgeschlossen haben. Diese Dokumente können einen Risikobewertungsbericht und einen Risikoübersichtsbericht umfassen.
Der ISO 27001 Risikobewertungsbericht gibt einen Überblick über Ihren Risikobewertungsprozess, einschließlich welche Informationswerte Sie bewertet haben, welche Risikobehandlungsoption Sie für jedes identifizierte Risiko ausgewählt haben, und die Wahrscheinlichkeits- und Auswirkungsscores für jedes einzelne.
Die Risikoübersicht führt die Risiken auf, die Ihre Organisation nach Abschluss des Risikobehandlungsprozesses zu behandeln beschlossen hat.
Überprüfen und überwachen Sie Risiken zur Verbesserung des ISMS
Eine kontinuierliche Verbesserung ist eine der zentralen Ideen des ISO 27001-Standards. Sie müssen diese Risikoanalysen zu einem fortlaufenden Prozess machen.
Die Überwachung und Bewertung von Risiken sollte in die täglichen Gewohnheiten Ihres Teams integriert werden. Es wird jedoch empfohlen, die formelle ISO 27001 Risikobewertung einmal jährlich durchzuführen, idealerweise bei Ihrem internen Audit.
Interne Auditoren sollten alle neuen Risiken berücksichtigen, die entstanden sind, und bewerten, wie gut Ihr derzeitiges Risikomanagementprogramm funktioniert, um Ihr ISMS zu schützen.
ISO 27001 Vorlage zur Risikobewertung
Holen Sie sich eine Kopie unserer ISO 27001 Risikobewertungsvorlage.
Diese editierbare Tabelle führt Sie durch den Prozess der Erstellung eines Vermögensverzeichnisses, der Zuweisung von Vermögens- und Risikoeigentümern, der Identifizierung und Bewertung von Risiken sowie der Auswahl Ihrer Risikobehandlung. Es enthält eine integrierte Risikomatrix, die Ihnen hilft, hochpriorisierte Risiken schnell zu visualisieren und Ihren Sanierungsplan zu erstellen.
Vereinfachen Sie Risikobewertungen mit Secureframe
Möchten Sie auf Tabellenkalkulationen verzichten?
Unsere Compliance-Automatisierungsplattform führt Sie durch den Risikobewertungsprozess und generiert automatisch einen ISO 27001 Bereitschaftsbericht. Sie können genau sehen, wie nahe Sie der Zertifizierung sind, und erhalten umsetzbare Ratschläge zur Schließung etwaiger Lücken.
Fordern Sie noch heute eine Demo mit einem unserer Produktexperten an.