ISO 27005 Einführung

1. ISO IEC 27005 Risikomanagement

Im Bereich Informationssicherheitsmanagement ISMS stellt die ISO 27005 eine genaue Anleitung zur IT Risikoanalyse und zum Risikomanagement im IT Bereich. Die ISO 27005 beinhaltet dabei einerseits eine Beschreibung des kompletten Risikomanagementprozesses als Ganzes und andererseits eine genaue Beschreibung der einzelnen Schritte des Risikomanagement und der Risikoanalyse. Die Anhänge der IEC 27005 liefern nützliche Informationen zur Etablierung eines Risikomanagement im Bereich Informationssicherheit und damit zur Erfüllung von Forderungen der ISMS Norm ISO 27001.

Risikomanagement und IT Risikoanalyse, wie in der IEC 27005 beschrieben, begründen sich auf den in der ISO IEC 27001 verankerten Forderungen nach:

• einer klaren Vorgehensweise zur Einschätzung von Risiken inkl. der Festlegung von Akzeptanzkriterien
• der Identifikation von Risiken, insbesondere bezogen auf bedrohte Werte, direkte und indirekte Bedrohungen und Schwachstellen
• der Analyse der Risikoauswirkungen sowie der Abschätzung der Risikowahrscheinlichkeit und des Risikoniveaus
• Optionen zur Risikobehandlung
• Identifikation und Evaluation von passenden Risikomanagementmaßnahmen

Dabei verlangt die ISO27001 eine systematische, reproduzierbare und dokumentierte Vorgehensweise.

Einsteigen in ISMS

Lernen Sie ISMS und die ISO 27001 / ISO 27005 kennen im Seminar »
Basiswissen ISMS

ISMS Beauftragter

Werden Sie jetzt ISMS Beauftragter im Seminar / Lehrgang »
ISMS Beauftragter

2. Ablauf einer ISMS Risikoanalyse

Bei der Risikoanalyse im Bereich Informationssicherheits- Management wird eine Aussage über Eintrittswahrscheinlichkeit und Schadenshöhe möglicher Risiken getroffen. Die Risikoanalyse ist ein systematisches Verfahren, welches Risiken bewertet und Zusammenhänge transparent macht. So können Probleme und eventuelle Schäden frühzeitig entdeckt werden und es entstehen weniger Schäden.

Abb. I: Ablauf Risikoanalyse

Folgende Schritte kennzeichnen eine IT Risiko Analyse:

1. Definition eines systematischen Ansatzes für den Umgang mit Risiken (Risikomanagement)
2. Beschreibung eines geeigneten Ansatzes (Methode) zur Analyse, Bewertung und Behandlung von Risiken (Risikomanagementhandbuch):
   • Festlegung der Schutzklassen und Kriterien (Schadenshöhe, Eintrittswahrscheinlichkeit, Risikoakzeptanz)
   • Festlegen der Verantwortlichkeiten
   • Festlegen der Review-Zyklen
3. Verfahrensanweisung zum IT Risk Management
4. Erfassen aller bedrohten Objekte und deren Wert (Klassifizieren nach Schutzklassen)
5. Erfassen der Daten und Informationen (Klassifizieren nach Schutzklassen) durch eine IT Risiko Analyse
6. Erfassen der Bedrohungen und der Schwachstellen
   • Die Bedrohungen sind im Zuge der IT Risikoanalyse in einer Excel Tabelle systematisch zu erfassen
   • Bewertung von möglichen Schäden durch Verlust, Veränderung oder Ausfall
   • Die Schäden sind in einer Excel Tabelle systematisch zu erfassen und zu bewerten
7. Bewertung der Eintrittswahrscheinlichkeit
8. Erstellung einer Risikomatrix (siehe Abbildung)
   • Eintrittswahrscheinlichkeit pro Schaden sowie die zu erwartende Schadenshöhe

Abb. II: Risikomatrix

3. Projektorientiertes ISMS ISO 27005

Um sich bei projektorientiertem Risikomanagement nicht allzu sehr im Detail verliert, sollte man bei der Durchführung einer Risikoanalyse folgendes beachten:

• Gruppiere die ermittelten Werte in der ISO 27005 Risikoanalyse nach ihrem Eigentümer
• Beginne mit nur ca. 10 Wertegruppen
• Beginne mit nur ca. 10 allgemeinen Bedrohungen
• Versuche Wissensträger mit einzubeziehen und Szenarien abzuleiten
• Betrachte nur umfangreiche Risiken, nicht die alltäglichen
• Führe die Abschätzung der Risikowahrscheinlichkeit in 3 Stufen durch (häufig, selten und sehr selten)
• Schätze die Schadenshöhe im Zuge der Risikoanalyse nach ISO 27005 Risikomanagement in 3 Stufen (erheblich, kritisch und katastrophal)

Werden Sie Auditor für ISMS ISO 27001

Starten Sie Ihre Weiterbildung zum Auditor / Lead Auditor ISO 27001 für ISMS in unserem Seminar / Lehrgang »
Auditor / Lead Auditor ISMS ISO 27001

4. IT Risikoanalyse Modelle

Für IT Risiko Analysen zur Informations- und Datensicherheit stehen eine ganze Reihe von Modellen und Methoden zur Verfügung. Die wichtigsten sind mathematische Modelle wie Sie insbesondere bei Versicherungen und Banken zum Einsatz kommen, Integrierte Ansätze aus dem Controllingbereich z.B. Planrechnungen, die sogenannte Suva-Methode, natürlich die FMEA (Fehler Möglichkeits- und Einfluss Analyse, die Failure Tree Analysis oder die komplexere Balanced Score Card. Dazu gibt es noch zahlreiche qualitativ-heuristische Methoden, die den Vorteil eines verhältnismäßig geringeren Aufwands bieten.

ISO 27005 Beratung und Ausbildung

Sie möchten in einem persönlichen Gespräch mehr über ein Risikomanagementsystem RMS, zum Beispiel nach ONR 49001 bzw. ISO DIS 31000, DIN EN ISO 14971 oder ISO 27001 erfahren und wie Ihr Unternehmen dieses anwenden und umsetzen kann?

Gerne stehen wir Ihnen zur Seite!
Kontaktieren Sie uns einfach via Telefon oder E-Mail oder besuchen Sie unsere Internetseite:

www.vorest-ag.com

Bei der VOREST AG finden Sie umfassende Beratung zum Thema Risk Management (Risikomanagement) nach ONR 49001 / ISO DIS 31000, ISMS ISO 27005 oder ISO 14971. Desweiteren bietet die VOREST AG Ihnen und Ihren Mitarbeitern umfassende Risiko Management Seminare und Schulungen. Diese können sowohl an den Seminarstandorten der VOREST AG als auch als Inhouse Risikomanagement Seminare besucht werden.

Ihre Experten für Risikomanagement bei der VOREST AG

Matthias Kuhles Tel.: 07231.922391-40 mkuhles@vorest-ag.de	Unser Katalog für Sie Jetzt kostenlos anfordern Katalog kostenlos bestellen	Die VOREST AG Besuchen Sie uns im Internet VOREST AG