Dejan Kosutic Risikobewertung (oft auch Risikoanalyse genannt) ist wahrscheinlich der komplexeste Teil der ISO 27001-Implementierung, doch ist die Risikobewertung (und Behandlung) gleichzeitig auch der wichtigste Schritt am Anfang Ihres Informationssicherheitsprojektes – sie legt die Grundlagen für die Informationssicherheit in Ihrem Unternehmen fest.
Die Frage ist, warum sie so wichtig ist? Die Antwort ist ganz einfach, wenn sie auch von vielen Leuten nicht verstanden wird: die hauptsächliche Philosophie von ISO 27001 ist herauszufinden, welche Vorfälle auftreten könnten (d.h. das Risiko bewerten) und dann die geeignetsten Wege zu finden, solche Vorfälle zu vermeiden (d.h. das Risiko behandeln). Doch nicht nur das, Sie müssen auch die Wichtigkeit jedes Risikos beurteilen, damit Sie den Fokus auf die wichtigsten richten können.
Auch wenn die Risikobewertung und Risikobehandlung (zusammen: Risikomanagement) ein komplexer Job ist, werden sie oft unnötigerweise mystifiziert. Diese 6 grundlegenden Schritte werden beleuchten, was Sie zu tun haben:
1. Methodik zur Risikobewertung nach ISO 27001
Dies ist der erste Schritt auf Ihrer Reise durch das Risikomanagement. Sie müssen Regeln dafür definieren, wie Sie das Risikomanagement durchführen werden, da Sie möchten, dass Ihre gesamte Organisation es auf die gleiche Art und Weise tut – das größte Problem mit der Risikobewertung entsteht, wenn verschiedene Teile der Organisation dies auf unterschiedliche Weise tun. Deshalb müssen Sie definieren, ob Sie eine qualitative oder eine quantitative Risikobewertung wollen, welche Maßstäbe Sie für die qualitative Bewertung verwenden werden, was das annehmbare Risiko sein wird, etc.
2. Risikobewertungs-Implementierung
Sobald Sie die Regeln kennen, können Sie damit beginnen herauszufinden, welche potentiellen Probleme Ihnen passieren könnten – Sie müssen alle Ihre Assets auflisten, danach die Bedrohungen und Schwachstellen im Zusammenhang mit diesen Assets, die Auswirkung und Wahrscheinlichkeit für jede Kombination von Assets/Bedrohungen/Schwachstellen beurteilen und schließlich den Risikolevel kalkulieren.
Meiner Erfahrung nach sind den Unternehmen für gewöhnlich nur 30% ihrer Risiken bewusst. Sie werden daher vermutlich diese Art von Übung ziemlich aufschlussreich finden – wenn Sie fertig sind, werden Sie die Mühe, die Sie sich machten, zu schätzen wissen.
3. Risikobehandlungs-Implementierung
Natürlich sind nicht alle Risiken gleich gestaltet – Sie müssen sich auf die wichtigsten konzentrieren, die sogenannten ’nicht annehmbaren Risiken‘.
Es gibt vier Optionen zur Auswahl, um jedes nicht annehmbare Risiko zu entschärfen:
- Anwendung der Sicherheitskontrollen aus Anhang A zur Reduzierung der Risiken– siehe Artikel Überblick über ISO 27001:2013 Anhang A.
- Risikoübertragung an andere Parteien – z.B. an eine Versicherung durch Erwerb einer Versicherungspolizze.
- Risikovermeidung durch Stoppen einer Aktivität, die zu riskant ist, oder durch Durchführung auf komplett andere Art.
- Risikoakzeptanz – wenn, zum Beispiel, die Kosten zur Entschärfung des Risikos höher wären als der Schaden selbst.
Das ist der Punkt, wo Sie kreativ werden müssen – wie kann das Risiko mit einem Minimum an Investition reduziert werden. Am einfachsten wäre es, wenn Ihr Budget unbegrenzt wäre, doch wird das niemals der Fall sein. Und ich muss Ihnen leider sagen, dass Ihr Management recht hat – es ist möglich, das gleiche Ergebnis mit weniger Geld zu erzielen – Sie müssen nur herausfinden, wie.
4. ISMS Risikobewertungsbericht
Im Gegensatz zu den vorherigen Schritten, ist dieser Schritt ziemlich langweilig – Sie müssen alles, was Sie bisher getan haben, dokumentieren. Nicht nur für die Auditoren, sondern Sie selbst könnten in ein oder zwei Jahren nachprüfen wollen.
5. Anwendbarkeitserklärung
Dieses Dokument zeigt faktisch das Sicherheitsprofil Ihres Unternehmens – basierend auf den Ergebnissen der Risikobehandlung müssen Sie alle Kontrollen auflisten, die Sie implementiert haben, sowie warum und wie Sie diese implementierten. Dieses Dokument ist ebenfalls sehr wichtig, da die Zertifizierungs-Auditoren es als hauptsächlichen Leitfaden für den Audit verwenden werden.
Details zu diesem Dokument siehe Artikel Die Bedeutung der Erklärung zur Anwendbarkeit für ISO 27001.
6. Risikobehandlungsplan
Dies ist der Schritt, in dem Sie von der Theorie zur Praxis wechseln. Offen gesagt – bis jetzt war der gesamte Risikomanagement-Job rein theoretisch, nun ist es aber an der Zeit, einige konkrete Ergebnisse zu zeigen.
Das ist der Zweck des Risikobehandlungsplans – genau zu definieren, wer jede Kontrolle implementieren wird, in welchem Zeitrahmen, mit welchem Budget, etc. Ich würde dieses Dokument lieber ‚Implementierungsplan‘ oder ‚Aktionsplan‘ nennen, aber bleiben wir bei der in ISO 27001 verwendeten Terminologie.
Sobald Sie dieses Dokument erstellt haben, ist es unerlässlich, die Genehmigung Ihres Managements zu erhalten, da es ein beträchtliches Maß an Zeit und Aufwand (und Geld) kosten wird, alle Kontrollen, die Sie hier geplant haben, zu implementieren. Und ohne Zusage des Managements werden Sie nichts davon bekommen.
Und das ist es – Sie haben Ihre Reise begonnen, als Sie nicht wussten, wie Ihre Informationssicherheit aufzusetzen ist und nun am Ende der Reise haben Sie ein klares Bild davon, was Sie implementieren müssen. Der springende Punkt ist – ISO 27001 zwingt Sie dazu, diese Reise auf systematische Art und Weise zu machen.
P.S. ISO 27005 – wie kann es Ihnen helfen?
ISO/IEC 27005 ist ein Standard, der ausschließlich dem Informationssicherheits-Risikomanagement gewidmet ist – er ist sehr hilfreich, wenn Sie einen tieferen Einblick in die Informationssicherheits-Risikobewertung und Risikobehandlung bekommen möchten – das heißt, wenn Sie als Berater oder vielleicht als Informationssicherheits-/Risiko-Manager auf permanenter Basis arbeiten wollen. Wenn Sie dahingegen nur vorhaben, einmal im Jahr eine Risikobewertung vorzunehmen, ist dieser Standard wahrscheinlich für Sie nicht notwendig.
Laden Sie das kostenlose Diagram of ISO 27001:2013 Risk Assessment and Treatment process herunter, um mehr zu erfahren.
