Die Informationssicherheitsrisikobehandlung beschreibt den systematischen Umgang mit identifizierten und bewerteten Risiken. Auf Basis der Risikobewertung müssen Organisationen entscheiden, wie mit nicht akzeptablen Risiken umgegangen wird, und geeignete Maßnahmen festlegen und umsetzen. Diese Klausel stellt sicher, dass Risiken gezielt behandelt, dokumentiert und überwacht werden.
Zweck der Klausel
Klausel 6.1.3 soll gewährleisten, dass Informationssicherheitsrisiken entsprechend den festgelegten Risikoakzeptanzkriterien behandelt werden. Ziel ist es, Risiken auf ein akzeptables Niveau zu reduzieren, die Wirksamkeit der Sicherheitsmaßnahmen sicherzustellen und eine nachvollziehbare Entscheidungsgrundlage zu schaffen.
Anforderungen und Maßnahmen
1. Auswahl von Risikobehandlungsoptionen
Für jedes identifizierte Risiko muss eine geeignete Behandlungsoption gewählt werden, zum Beispiel:
Risikominderung durch Sicherheitsmaßnahmen
Risikoakzeptanz bei akzeptablem Restrisiko
Risikovermeidung durch Änderung von Aktivitäten
Risikoübertragung, z. B. durch Verträge oder Versicherungen
Die Entscheidung muss risikoorientiert erfolgen.
2. Auswahl geeigneter Sicherheitsmaßnahmen
Für die Risikominderung müssen geeignete Maßnahmen festgelegt werden:
Auswahl von Maßnahmen aus Anhang A
Nutzung anderer anerkannter Standards oder Controls
Berücksichtigung organisatorischer, technischer und personeller Maßnahmen
Abwägung von Kosten und Nutzen
Die Maßnahmen müssen dem Risiko angemessen sein.
3. Erstellung eines Risikobehandlungsplans
Die Organisation muss einen Risikobehandlungsplan erstellen, der:
die gewählten Maßnahmen beschreibt
Verantwortlichkeiten festlegt
Zeitpläne für die Umsetzung enthält
Ressourcen und Abhängigkeiten berücksichtigt
Der Plan dient als zentrales Steuerungsinstrument.
4. Umsetzung der Risikobehandlungsmaßnahmen
Die festgelegten Maßnahmen müssen umgesetzt werden:
Integration in bestehende Prozesse
Einbindung relevanter Rollen und Verantwortlicher
Schulung und Sensibilisierung betroffener Personen
Berücksichtigung in Projekten und Änderungen
Die Umsetzung muss nachvollziehbar erfolgen.
5. Bewertung von Restrisiken
Nach Umsetzung der Maßnahmen müssen Restrisiken bewertet werden:
erneute Bewertung von Wahrscheinlichkeit und Auswirkung
Vergleich mit den Risikoakzeptanzkriterien
Entscheidung über Akzeptanz oder weitere Maßnahmen
formale Genehmigung nicht akzeptabler Restrisiken
Restrisiken müssen bewusst akzeptiert werden.
6. Genehmigung der Risikobehandlung
Die Ergebnisse der Risikobehandlung müssen genehmigt werden:
Genehmigung des Risikobehandlungsplans
Genehmigung akzeptierter Restrisiken
Einbindung der zuständigen Führungsebene
Dokumentation der Entscheidungen
Dies stellt Managementverantwortung sicher.
7. Abstimmung mit der Erklärung zur Anwendbarkeit (SoA)
Die Risikobehandlung muss mit der SoA abgestimmt sein:
Zuordnung ausgewählter Controls
Begründung für eingeschlossene oder ausgeschlossene Maßnahmen
Nachvollziehbarkeit der Entscheidungen
Konsistenz zwischen Risikoanalyse und SoA
Die SoA ist ein zentrales Auditdokument.
8. Überwachung und Aktualisierung der Risikobehandlung
Die Risikobehandlung muss regelmäßig überprüft werden:
Bewertung der Wirksamkeit der Maßnahmen
Anpassung bei Änderungen oder neuen Risiken
Berücksichtigung von Vorfällen oder Auditergebnissen
kontinuierliche Verbesserung
So bleibt die Risikobehandlung wirksam.
Zusammenfassung
Klausel 6.1.3 fordert, dass Organisationen Informationssicherheitsrisiken systematisch behandeln. Durch die Auswahl geeigneter Risikobehandlungsoptionen, die Festlegung und Umsetzung angemessener Sicherheitsmaßnahmen, die Bewertung und Genehmigung von Restrisiken sowie die Abstimmung mit der Erklärung zur Anwendbarkeit wird sichergestellt, dass Risiken kontrolliert und nachvollziehbar gemanagt werden. Diese Klausel ist ein zentraler Bestandteil eines wirksamen ISMS nach ISO/IEC 27001:2022.
