(nach ISO/IEC 27001:2022)

Die Informationssicherheitsbewertung stellt sicher, dass Risiken für die Informationssicherheit nicht nur geplant, sondern auch im operativen Betrieb regelmäßig bewertet werden. Veränderungen im Umfeld, neue Bedrohungen oder Anpassungen an Systemen und Prozessen können die Risikolage beeinflussen. Diese Klausel fordert die regelmäßige Durchführung von Informationssicherheitsbewertungen als Bestandteil der betrieblichen Steuerung.

Zweck der Klausel

Klausel 8.2 soll gewährleisten, dass die Organisation Informationssicherheitsrisiken im laufenden Betrieb bewertet. Ziel ist es, Veränderungen der Risikolage frühzeitig zu erkennen und sicherzustellen, dass Risiken weiterhin angemessen gesteuert werden.

Anforderungen und Maßnahmen

1. Durchführung regelmäßiger Informationssicherheitsbewertungen

Die Organisation muss Informationssicherheitsbewertungen durchführen:

• in geplanten Intervallen
• bei wesentlichen Änderungen
• nach Sicherheitsvorfällen
• bei neuen oder geänderten Anforderungen

Die Bewertungen müssen systematisch erfolgen.

2. Anwendung des festgelegten Risikobewertungsverfahrens

Die Bewertung muss gemäß dem definierten Verfahren erfolgen:

• Nutzung einheitlicher Kriterien
• Bewertung von Eintrittswahrscheinlichkeit und Auswirkung
• Berücksichtigung bestehender Maßnahmen
• Vergleich mit Risikoakzeptanzkriterien

Dies stellt Konsistenz sicher.

3. Berücksichtigung operativer Veränderungen

Bei der Bewertung müssen operative Veränderungen berücksichtigt werden:

• Änderungen an Systemen oder Anwendungen
• neue Prozesse oder Dienstleistungen
• organisatorische Anpassungen
• geänderte Bedrohungslage

So bleibt die Bewertung realitätsnah.

4. Einbindung relevanter Rollen und Bereiche

Die Informationssicherheitsbewertung muss abgestimmt erfolgen:

• Einbindung von Prozesseigentümern
• Beteiligung der IT und Fachbereiche
• Unterstützung durch Informationssicherheitsverantwortliche
• Eskalation bei kritischen Risiken

Dies erhöht die Qualität der Bewertung.

5. Bewertung bestehender Maßnahmen

Bestehende Sicherheitsmaßnahmen müssen überprüft werden:

• Wirksamkeit der implementierten Controls
• Angemessenheit im aktuellen Kontext
• Erkennung von Lücken oder Schwächen
• Bedarf an Anpassungen

So werden Restrisiken sichtbar.

6. Identifikation neuer oder veränderter Risiken

Die Bewertung muss neue Risiken erfassen:

• neue Bedrohungen oder Angriffsmuster
• neu entstandene Schwachstellen
• veränderte Schutzbedarfe
• Abhängigkeiten zu externen Parteien

Dies unterstützt die Aktualität des Risikobildes.

7. Dokumentation der Bewertungsergebnisse

Die Ergebnisse der Informationssicherheitsbewertung müssen dokumentiert werden:

• identifizierte Risiken
• Bewertungsergebnisse
• Veränderungen gegenüber früheren Bewertungen
• empfohlene Maßnahmen

Die Dokumentation ist auditrelevant.

8. Nutzung der Ergebnisse für die Steuerung

Die Ergebnisse müssen genutzt werden:

• Anpassung der Risikobehandlung
• Priorisierung von Maßnahmen
• Information der Führungsebene
• Grundlage für Managementbewertungen

So wird die Bewertung wirksam.

Zusammenfassung

Klausel 8.2 fordert, dass Organisationen Informationssicherheitsbewertungen regelmäßig im operativen Betrieb durchführen. Durch die systematische Bewertung von Risiken, die Berücksichtigung von Veränderungen sowie die Nutzung der Ergebnisse zur Steuerung des ISMS wird sichergestellt, dass die Informationssicherheitsrisiken kontinuierlich überwacht und angemessen behandelt werden. Diese Klausel unterstützt die Aktualität und Wirksamkeit des Informationssicherheitsmanagementsystems nach ISO/IEC 27001:2022.