ISMS ISO 27005 Einführung

Hier wird Ihnen eine umfassende Einführung zu der Norm ISO 27005 bzw. IEC 27005 geben. Der Standard für “Information Security Risk Management”, ISO/IEC 27005, wurde als Leitfaden zu der bekannten Norm für Informationssicherheit ISO/IEC 27001 veröffentlicht. Damit wird das abstrakte Thema Risikomanagement besser umsetzbar – auch in KMU. Die ISO 27005 findet man vor allem in der IT-Branche. Dort regelt die ISO 27005 das Risikomanagement eines ISMS (Informationssicherheitsmanagementsystem). Mehr über das IT Risikomanagement und den Leitfaden ISO 27005 können Sie auch auf dieser Seite erfahren.

AUSBILDUNG: Mit der Ausbildung Basiswissen Informationssicherheitsmanagement ISO 27001 lernen Sie die ISO 27001 von Grund auf kennen und anzuwenden.

Zum Seitenanfang

ISO IEC 27005 IT Risikomanagement

Im Bereich Informationssicherheitsmanagement stellt die ISO 27005 einen Leitfaden mit der genauen Beschreibung zur IT Risikoanalyse und zum Risikomanagement im IT Bereich dar. Der Leitfaden ISO 27005 bzw. IEC 27005 ist auch sehr gut an kleine und mittlere Unternehmen (KMU) anwendbar. Die ISO 27005 beinhaltet dabei einerseits eine Beschreibung des kompletten Risikomanagementprozesses als Ganzes und andererseits eine genaue Beschreibung der einzelnen Schritte des IT Risikomanagements und der Risikoanalyse. Somit wird das Entdecken und Minimieren von Sicherheitslücken im IT Bereich erleichtert. Die Anhänge der IEC 27005 liefern nützliche Informationen zur Etablierung eines Risikomanagement im Bereich Informationssicherheit und damit zur Erfüllung von Forderungen der Norm ISO 27001.

Risikomanagement im IT Bereich und ISMS Risikoanalyse, wie in der IEC / ISO 27005 beschrieben, begründen sich auf den Forderungen, die in der Norm ISO 27001 verankert sind:

• Eine klare Vorgehensweise zur Einschätzung von Risiken inkl. der Festlegung von Akzeptanzkriterien für diese
• Die Identifikation von Risiken, insbesondere bezogen auf bedrohte Werte, direkte und indirekte Bedrohungen und Schwachstellen im IT Bereich
• Die Analyse der Auswirkungen im Falle des Eintretens eines IT Risikos, sowie die Abschätzung der Risikowahrscheinlichkeit und des Risikoniveaus
• Optionen zur Risikobehandlung
• Identifikation und Evaluation von passenden Maßnahmen für Risikomanagement

Dabei verlangt die ISO 27001 eine systematische, reproduzierbare und dokumentierte Vorgehensweise.

Zum Seitenanfang

Ablauf einer ISMS Risikoanalyse


Bei der Analyse von Informationssicherheitsrisiken beim Aufbau und Implementierung eines ISMS nach ISO 27001 wird eine Aussage über Eintrittswahrscheinlichkeit und Schadenshöhe möglicher IT Risiken getroffen. Die Risikoanalyse ist ein systematisches Verfahren, welches in dem Fall IT Risiken bewertet und Zusammenhänge transparent darstellt. So können potenzielle Probleme und eventuelle Schäden frühzeitig entdeckt werden. Damit werden Risiken im IT Bereich vermieden und eine Organisation erleidet keine Verluste, so z.B. Imageverluste.

Schrittfolge der Risikoanalyse

Schritt 1: Definition eines systematischen Ansatzes für den Umgang mit Risiken (Risikomanagement)


Schritt 2: Beschreibung und Erläuterung eines geeigneten Ansatzes (Methode) zur Analyse, Bewertung und Behandlung von Informationssicherheit Risiken (Risikomanagementhandbuch): Festlegung der Schutzklassen und Kriterien (Schadenshöhe, Eintrittswahrscheinlichkeit, Risikoakzeptanz), Bestimmung der Verantwortlichkeiten, Definition der Review-Zyklen

Schritt 3: Prozessbeschreibung zum IT Risikomanagement
Schritt 4: Erfassen aller (potenziell) bedrohten Objekte und deren Wert (Klassifizieren nach Schutzklassen)

Schritt 5: Erfassen der Daten und Informationen (Klassifizieren nach Schutzklassen) durch eine IT Risikoanalyse
Schritt 6: Erfassen der Bedrohungen und der Schwachstellen im IT Bereich. Dabei sollte man folgende Dinge beachten: Die Bedrohungen sind im Zuge der Risikoanalyse im IT Bereich in einer Excel Tabelle systematisch zu dokumentieren, möglichen Schäden durch Verlust, Veränderung oder Ausfall zu bewerten und die Schäden in einer Excel Tabelle systematisch zu dokumentieren und zu bewerten.

Schritt 7: Bewertung der Eintrittswahrscheinlichkeit eines IT Risikos

Schritt 8: Erstellung einer Risikomatrix (siehe Grafik).
Diese bringt die Eintrittswahrscheinlichkeit pro Schaden, sowie die zu erwartende Schadenshöhe miteinander in Bezug.

VORLAGENPAKET: Nutzen Sie das Auditpaket ISMS ISO 27001 und erhalten Sie alle Vorlagen für die erfolgreiche Durchführung Interner Audits nach ISO 27001.

Zum Seitenanfang

Projektorientiertes ISMS ISO 27005

Um sich bei projektorientiertem Risikomanagement IEC 27005 nicht allzu sehr im Detail zu verlieren, sollte man bei einer Risikoanalyse für Informationssicherheit folgendes beachten:

• Gruppiere die ermittelten Werte in der ISO 27005 Risikoanalyse nach ihrem Eigentümer
• Starte mit nur ungefähr 10 Wertegruppen
• Starte mit nur ungefähr 10 allgemeinen Bedrohungen
• Versuche Wissensträger mit einzubinden und mögliche Szenarien abzuleiten
• Betrachte nur umfangreiche Risiken, nicht die alltäglichen
• Schätze die Risikowahrscheinlichkeit ab und ordne Sie den 3 Ausprägungen zu (häufig, selten und sehr selten)
• Schätze die potenzielle Schadenshöhe im Zuge der IT Risikoanalyse nach ISO 27005 in 3 Stufen (erheblich, kritisch und katastrophal)

Zum Seitenanfang

Modelle der Risikoanalyse

Für IT Risikoanalysen zur Informations- und Datensicherheit stehen eine ganze Reihe von Methoden und Modellen zur Verfügung. Die bedeutendsten sind dabei mathematische Modelle wie Sie insbesondere bei Versicherungen und Banken zum Einsatz kommen. Es werden auch Integrierte Ansätze aus dem Controllingbereich z.B. Planrechnungen, die sogenannte Suva-Methode, natürlich die FMEA (Fehler Möglichkeits- und Einfluss Analyse), die Failure Tree Analysis oder die komplexere Balanced Score Card eingesetzt. Dazu existieren noch zahlreiche qualitativ-heuristische Methoden, die den Vorteil eines verhältnismäßig geringeren Aufwands bieten.