Hier werden nun die praktische Umsetzung des ISMS und IT Risiko Analyse genauer Vorgestellt und die wichtigsten Punkte erklärt.
Die IT Risiko Analyse wird im ISMS angewandt, um das bestehende IT Risiko für die IT Sicherheit genau zu beleuchten und zu analysieren. Nur wenn man das IT Risiko ganz genau im Vorfeld untersucht hat, kann man auch sicher sein, dass sämtliche potentielle Gefahrenquellen erkannt wurden und Maßnahmen ergriffen wurden, welche diese Gefahrenquellen bannen.

VORLAGE:

Hier erhalten Sie eine Verfahrensanweisung Risikomanagement ISO 27001 - ISMS kostenlos!

Zunächst müssen wir uns fragen, was versteht man eigentlich genau unter Risiko. Risiko ist ein weiter Begriff. Dieser Begriff muss auch in den Kontext Informationssicherheit gesetzt werden.

Was ist Risiko?

• Risiko ist die kalkulierte Prognose eines möglichen Schadens bzw. Verlustes im negativen Fall (Gefahr) oder eines möglichen Nutzens bzw. Gewinns im positiven Fall (Chance).
• Risiko ist die nach Häufigkeit (Eintrittserwartung) und Auswirkung eingeschätzte, konkrete Bedrohung eines Systems bzw. einer Organisation.
• Das Risiko beschreibt die unerwartete Abweichung von Zielen oder die Konsequenzen der Nicht-Erfüllung von Anforderungen.

               

Abb. I: Risikoanalyse

Die ISO IEC 27001 stellt eine Grundanforderung an die Vorgehensweise. So muss jede IT Risiko Analyse systematisch und reproduzierbar dokumentiert sein. Die ISO 27001 fordert ebenfalls die Identifizierung einer Vorgehensweise für die Risikoeinschätzung. So muss eine Methode der Risikoanalyse gewählt werden und Akzeptanzkriterien für die Informationssicherheits- Risiken festgelegt werden.
Die klare Identifikation des IT Risiko steht natürlich im Mittelpunkt. Hierbei müssen systematisch die bedrohten Werte und deren Eigentümer aufgezeigt werden. Ebenfalls muss die Bedrohung selbst genau skizziert werden. Zuletzt müssen die Schwachstellen offengelegt werden und welche Auswirkungen das konkrete Eintreten eine Bedrohung für das IT Sicherheit haben kann.
Aus der ISO IEC 27001 geht selbst die Forderung einer IT Risiko Analyse und Risikobewertung hervor. So muss eine Analyse der Auswirkungen des IT Risiko durchgeführt werden. Ebenfalls muss die Wahrscheinlichkeit von IT Risiko abgeschätzt werden. Zuletzt fordert die ISO IEC 27001 noch eine Abschätzung des Niveaus vom IT Risiko.
Abschließend ist eine weiter zentrale Forderung der ISO IEC 27001 für ISMS die Optionen zur Behandlung vom IT Risiko. Hierzu gehört die Identifikation und Evaluation angemessener Risikomanagement Maßnahmen.

VORLAGE:

Hier erhalten Sie eine passende Vorlage ISMS Risikoanalyse nach NIST 800 -30 / ISO 27005

                                  

Abb. II: Grundsätze Risikomanagement

---

Ausbildung zum ISMS Beauftragten Wir bilden Sie in nur drei Modulen zum ISMS Beauftragten aus und Sie erfahren, wie Sie ISMS implementieren, betreuen und verbessern! Seminar ISMS - ISO 27001 Basiswissen Seminar Interner Auditor ISMS - ISO 27001 Seminar ISMS Beauftragter - ISO 27001

---

Die ISO 27005 liefert eine ausführliche Anleitung zum IT Risik Management und zur IT Risikoanalyse. Die ISO 27005 ist dabei durch Verweise eng verwoben mit der ISO 27001 und liefert:

• Eine Beschreibung des IT Risikomanagement Prozess als Ganzes.
• Eine detaillierte Beschreibung aller Schritte des IT Risikomanagement und der IT Risikoanalyse.
• Anhänge mit hilfreichen Informationen für die Umsetzung eines IT Risk Management zur Erfüllung der Forderungen der ISO 27001.

Die Herausforderung bei der IT Risikoanalyse im Zuge der Einführung eines Informationssicherheitsmanagementsystem ist sich nicht im Detail zu verlieren! Deshalb sollen folgende Empfehlungen beim Aufbau eines IT Risk Management und zur Durchführung einer IT Risikoanalyse gegeben werden:

• Werte nach Eigentümer gruppieren
• Mit nur ca. 10 Wertegruppen beginnen
• Mit nur ca. 10 allgemeinen Bedrohungen beginnen
• Szenarien ableiten, entsprechende Wissensträger beiziehen
• Nur große IT Risiken betrachten (Annahme: alltägliche Risiken haben wir im Griff)

Im Zuge der IT Risikoanalyse nach ISO 27005 erfolgt eine Abschätzung der Wahrscheinlichkeit vom IT Risiko in 3 Stufen:

• Häufig (mehrmals jährlich möglich)
• Selten (alle paar Jahre)
• Sehr selten (alle paar Jahrzehnte)

Die Abschätzung der Schadenshöhe im Zuge der IT Risikoanalyse nach ISO 27005 erfolgt ebenfalls in 3 Stufen:

• Erheblich (weniger als 10% des Gewinns)
• Kritisch (z.B. 10-50% des Gewinns)
• Katastrophal (gefährdet das Unternehmen)

Für die IT Risikoanalyse gibt es verschiedene Methoden und Modelle:

• Mathematische Modelle (Versicherungen, Banken!)
• Integrierte Ansätze im Controlling (Budget, Planrechnungen etc.)
• Suva-Methode
• FMEA (Failure Mode and Effect Analysis)
• Fehlerbaum- und Ereignisablauf-Analyse
• Future Value Card, Balanced Score Card

... und ganz pragmatisch auch etliche qualitativ-heuristische Methoden mit dem Ziel eines möglichst geringen Aufwands der IT Risikoanalyse. So können oft auch verständlichere Aussagen getroffen und auf dieser Grundlage passende Maßnahmen zur Verbesserung der Informationssicherheit geplant und umgesetzt werden.

---

Informationssicherheitsmanagement professionell umsetzen Erkennen Sie mit diesen praxiserprobten Vorlagen die Schwachstellen Ihrer IT Umgebung und potentielle IT Risiken für Ihre Organisation! Audit Paket ISMS - ISO 27001 - Alle Vorlagen für Ihr ISO 27001 Audit ISMS Policies - Toolpaket ISO 27001 Risikomanagement Handbuch für ISMS

---