Risikoeinschätzung nach ISO 27001
Der Prozess, wie Risiken ermittelt und eingeschätzt werden, muss schriftlich niedergelegt sein. Aus dem Inhalt muss hervorgehen, welche Methoden eingerichtet und umgesetzt werden, um
- Risiken zu ermitteln und zu bewerten,
- Risiken ggf. zu akzeptieren,
- die konsequente und regelmäßige Durchführung der Risikoeinschätzung sicherzustellen.
Neben den vorgenannten Punkten ist auch anzugeben, wer für bestimmte Risiken verantwortlich zeichnet. Der sogenannte Risk Owner muss aus der Dokumentation hervorgehen.
Bei der Festlegung von Kriterien zur Risikoermittlungen sind Organisationen mittlerweile freier. In älteren Versionen der Norm gab es noch eine verbindliche Vorgabe zur Methodik. Nunmehr kann das Vorgehen deutlich besser an die eigenen Wünsche und Bedürfnisse einer Organisation angepasst werden, was den Anspruch der ISO 27001 unterstützt, universell einsetzbar zu sein. Ein Eingehen auf Chancen ist übrigens nicht zwingend aber natürlich sinnvoll.
Trotz der gerade angesprochenen Liberalisierung muss weiterhin sichergestellt sein, dass die definierte Methodik wiederholbar zu verlässlichen und vergleichbaren Ergebnissen kommt. Die Kriterien müssen gegenüber den Zielen des Unternehmens angemessen gewichtet sein und insgesamt ein realistisches Abbild der tatsächlich bestehenden Risiken ermöglichen.
Risikobehandlung nach ISO 27001
Auch der Prozess, wie erkannte und gewichtete Risiken zu behandeln sind, muss schriftlich dokumentiert vorliegen. Der vorgeschriebene Ansatz ist aber im Vergleich zu älteren Versionen der Norm nunmehr ein etwas anderer.
- Früher war zuerst ein Blick in den Anhang A notwendig, bevor über weitere Maßnahmen nachgedacht wurde.
- Jetzt haben Organisationen zunächst einmal individuelle Maßnahmen zur Behandlung identifizierte Risiken festzulegen. Erst anschließend erfolgt der Abgleich mit den Maßnahmen des Anhang A, um zu gewährleisten, dass keine erforderlichen Maßnahmen übersehen werden.
Insgesamt ist die Norm in ihrer aktuellen Version damit offener für Maßnahmen, die auch anderen Quellen entnommen werden können. Ein Beispiel hierfür wären Maßnahmen aus dem IT-Grundschutz.
In diesem Zusammenhang kommt der oben genannte Risk Owner erneut zum Zuge, der den Risikobehandlungsplan und die Akzeptanz möglicher Restrisiken genehmigen muss. In älteren Versionen der Norm war dies noch dem Management selbst vorbehalten, dem allerdings oft die fachliche Nähe zum betroffenen Bereich fehlte.
Fazit: Mehr Flexibilität führt im Zweifel zu besserem Ergebnis
Die Risikoanalyse nach ISO 27001 ist nun gelöst von der starren Methodik früherer Versionen der Norm möglich. Dies erlaubt es Organisationen flexibler auf ihre konkreten Bedürfnisse und Umstände einzugehen. Die Ergebnisse dürften damit insgesamt etwas passgenauer sein und das Sicherheitsniveau noch etwas weiter erhöhen.
Natürlich bleibt Voraussetzung, die genaue Kenntnis und ein entsprechendes Verständnis der Sicherheitsmethodik sowie Erfahrung in der praktischen Umsetzung.