Die Informationssicherheitsrisikobewertung ist ein zentraler Bestandteil des Informationssicherheitsmanagementsystems (ISMS). Sie dient dazu, Risiken systematisch zu identifizieren, zu analysieren und zu bewerten, die die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen beeinträchtigen können. Diese Klausel stellt sicher, dass die Risikobewertung konsistent, nachvollziehbar und wiederholbar durchgeführt wird.
Zweck der Klausel
Klausel 6.1.2 soll gewährleisten, dass die Organisation ein geeignetes Verfahren zur Bewertung von Informationssicherheitsrisiken festlegt und anwendet. Ziel ist es, fundierte Entscheidungen über den Umgang mit Risiken zu ermöglichen und eine belastbare Grundlage für die Auswahl geeigneter Sicherheitsmaßnahmen zu schaffen.
Anforderungen und Maßnahmen
1. Festlegung eines Risikobewertungsverfahrens
Die Organisation muss ein Verfahren zur Informationssicherheitsrisikobewertung festlegen, das:
konsistente und vergleichbare Ergebnisse liefert
Kriterien für Risikoakzeptanz definiert
die Bewertung von Eintrittswahrscheinlichkeit und Auswirkung vorsieht
dokumentiert und nachvollziehbar ist
Das Verfahren muss regelmäßig angewendet werden.
2. Identifikation von Informationswerten
Im Rahmen der Risikobewertung müssen relevante Informationswerte identifiziert werden, insbesondere:
Informationen und Daten
IT-Systeme und Anwendungen
Prozesse und Dienstleistungen
Infrastrukturen und unterstützende Ressourcen
Die Identifikation bildet die Grundlage der Risikobetrachtung.
3. Identifikation von Bedrohungen und Schwachstellen
Für die identifizierten Informationswerte müssen Bedrohungen und Schwachstellen ermittelt werden:
interne und externe Bedrohungen
technische, organisatorische und menschliche Schwachstellen
bekannte Angriffsszenarien
potenzielle Fehlbedienungen oder Ausfälle
So werden realistische Risikoszenarien beschrieben.
4. Analyse der Risiken
Die identifizierten Risiken müssen analysiert werden:
Bewertung der Eintrittswahrscheinlichkeit
Bewertung der möglichen Auswirkungen
Berücksichtigung bestehender Sicherheitsmaßnahmen
Ermittlung des inhärenten und restrisikos
Die Analyse erfolgt gemäß den festgelegten Kriterien.
5. Bewertung und Priorisierung der Risiken
Risiken müssen bewertet und priorisiert werden:
Vergleich mit den definierten Risikoakzeptanzkriterien
Einstufung nach Risikoklassen
Identifikation nicht akzeptabler Risiken
Priorisierung für die Behandlung
Dies ermöglicht eine gezielte Maßnahmenplanung.
6. Dokumentation der Risikobewertung
Die Ergebnisse der Risikobewertung müssen dokumentiert werden:
identifizierte Informationswerte
Bedrohungen, Schwachstellen und Risiken
Bewertungsergebnisse
Entscheidung zur weiteren Behandlung
Die Dokumentation ist auditrelevant und revisionssicher.
7. Regelmäßige Durchführung und Aktualisierung
Die Risikobewertung muss regelmäßig durchgeführt werden:
in geplanten Intervallen
bei wesentlichen Änderungen
nach Sicherheitsvorfällen
bei neuen rechtlichen oder organisatorischen Anforderungen
So bleibt das Risikobild aktuell.
8. Nutzung der Ergebnisse im ISMS
Die Ergebnisse der Risikobewertung müssen genutzt werden:
als Grundlage für die Risikobehandlung
zur Auswahl von Sicherheitsmaßnahmen
zur Festlegung von Prioritäten und Zielen
für Managementbewertungen und Entscheidungen
Dies stellt die Wirksamkeit des ISMS sicher.
Zusammenfassung
Klausel 6.1.2 fordert, dass Organisationen Informationssicherheitsrisiken systematisch bewerten. Durch ein definiertes Risikobewertungsverfahren, die Identifikation von Informationswerten, Bedrohungen und Schwachstellen sowie die strukturierte Analyse und Dokumentation von Risiken wird eine fundierte Grundlage für risikobasierte Entscheidungen geschaffen. Die Informationssicherheitsrisikobewertung ist ein zentrales Element für ein wirksames ISMS nach ISO/IEC 27001:2022.
