Risikomanagement

Was macht das Risikomanagement?

Ein Risikomanagement bildet die Grundlage und liefert die Kriterien und Verfahren, um angemessen auf Bedrohungen reagieren bzw. ihnen vorbeugen zu können.
Zuerst gilt es, die Bedrohungen oder Gefährdungen für die eigene Geschäftstätigkeit zu erkennen. Mit großer Offenheit sollten die Geschäftsprozesse und deren Tätigkeiten betrachtet werden, und zuerst bedacht werden, was diese stören oder unterbrechen könnte. Das Erkennen und Steuern von Risiken ist daher integraler Bestandteil eines ISMS wie auch eines BCMS.

Hierfür stehen zu den Standards ISO/IEC 27001 und IT-Grundschutz Anleitungen als methodische Hilfe und Absicherung bereit:

  • ISO/IEC 27005 – Information Security Risk Management
  • BSI 200-3 – Risikoanalyse auf der Basis von IT-Grundschutz
  • ISO 31000 – Risk Management Guidelines


Der ISO 31000 als eigener Standard

Der ISO 31000 ist ein eigener Standard, wie schon der Name zeigt. Er ist nicht zertifizierbar, wird aber immer öfter im übergeordneten Risikomanagement für die Gesamtsteuerung der Risiken einer Organisation herangezogen. Das Risikomanagement der Informationssicherheit nach ISO/IEC 27005 macht es in der Regel leicht, dieses in das Gesamtrisikomanagement, bei Banken normalerweise in das Operational Risk Management (OpRisk), zu integrieren.
Operativ notwendig erscheinen heute Aufbau und Pflege einer Risikomatrix, die vom Top-Management freigegeben ist, eines Risikoinventars und eines Risikobehandlungsplans. Letzter wird in den Standards ISO/IEC 27001 und ISO 22301 explizit gefordert.


Unser Risikomanagement für Sie

Unsere Erfahrung reicht vom Aufbau einer Risikomatrix bis zur Integration der IS-Risiken in ein bestehendes Risikomanagement, von Risikoanalysen (Systeme, Anwendungen, Dienstleister, …) bis zur Restrisikobewertung.



Verschiedene Blickrichtungen auf Risiken:

  • Risikomanagement, im ISMS wie im Gesamtunternehmen, erkennt und bewertet die Risiken für die eigene Organisation.

 

  • Risikomanagement im Datenschutz erkennt und bewertet als Datenschutz-Folgeabschätzung die Risiken für Personen, mit denen die Organisation Kontakt hat – Mitarbeiter, Kunden und deren Mitarbeiter, …
  • Risikomanagement für KritIS (BSIG) erkennt und bewertet Risiken für alle Personen, die durch eine Unterbrechung der eigenen Leistungen in großem Umfang betroffen sein könnten.