Informationssicherheit ISO 27001

10 Min

Aufbau eines zertifizierten Risikomanagements anhand der ISO 27005

DataGuard
DataGuard

Sicherheitsteams benötigen durchschnittlich 287 Tage, um Datenschutzverstöße zu identifizieren und unter Kontrolle zu bringen. Die ständig wachsenden technologischen Fortschritte unserer Zeit bringen jedoch auch neue Sicherheitsbedrohungen mit sich.

Um die Informationsassets und das geistige Eigentum Ihres Unternehmens effektiv zu schützen, ist es entscheidend, solide Informationssicherheitspraktiken zu etablieren. In diesem Artikel erklären wir, wie die ISO 27005 Ihnen dabei helfen kann.

Das Ziel dieser internationalen Norm besteht darin, eine präzise Bewertung der Informationssicherheitsrisiken durchzuführen, auf deren Grundlage Sie Ihr Informationssicherheits-Managementsystem (ISMS) optimieren können.

Die ISO 27005 ist auch für den Erwerb einer ISO-27001-Zertifizierung äußerst hilfreich – mehr dazu in diesem Blogbeitrag. 

Was ist die ISO 27005? 

Die ISO  27005 ist ein Standard, der von der Internationalen Organisation für Normung (International Organization for Standardization, ISO) in Zusammenarbeit mit der Internationalen Elektrotechnischen Kommission (International Electrotechnical Commission, IEC) entwickelt wurde. Der offizielle Titel lautet „Information Technology – Security Techniques – Information Security Risk Management“ (Informationstechnik – IT-Sicherheitsverfahren – Informationssicherheitsrisiko-Management). 

Die Norm wurde 2018 zuletzt aktualisiert und enthält eine Anleitung für die Durchführung einer Informationssicherheitsrisiko-Bewertung gemäß ISO  27001. 

Die ISO 27005 ist für Unternehmen aller Größen und Branchen relevant und gibt daher keine strikten Bestimmungen vor. Stattdessen werden bewährte Verfahren empfohlen, die für ein typisches Informationssicherheits-Managementsystem (ISMS) geeignet sind. 

Die ISO 27005 enthält Richtlinien für Prozesse, die für Aufbau und Optimierung eines ISMS entscheidend sind. Dazu gehören die Ermittlung und Bewertung von Informationssicherheitslücken sowie entsprechende Maßnahmen zu deren Behebung. Anhand der Best Practices der Norm können Organisationen Informationssicherheits-Controls und andere Maßnahmen effektiver umsetzen. 

Die ISO 27005 liefert ein Framework für Informationssicherheitsrisiko-Management, das die Erstellung, Ausführung, Überwachung und Verwaltung eines Risikomanagementplans umfasst. 

Informationssicherheitsrisiko-Management und die ISO 27005 

Mithilfe von Informationssicherheitsrisiko-Management lassen sich Risiken im IT-Bereich ermitteln und mindern. Es handelt sich um einen fortlaufenden Prozess, der Folgendes umfasst: 

  • Risiken identifizieren und bewerten 
  • Wahrscheinlichkeit des Risikoeintritts und Konsequenzen ermitteln 
  • Prioritäten für die Risikobehandlung festlegen 
  • Stakeholder an Entscheidungen in Bezug auf Risikomanagement beteiligen 
  • Effektivität der Risikominderung überwachen 
  • Stakeholder über Risiken und Maßnahmen zu deren Minderung informieren 

Informationssicherheitsrisiken können die Vertraulichkeit von Daten, den Ruf des Unternehmens und die Verfügbarkeit von Assets beeinträchtigen. 

Ziel des Informationssicherheitsrisiko-Managements ist nicht, alle Risiken auszumerzen, sondern ein angemessenes Risikoniveau zu ermitteln und beizubehalten. Organisationen sollten Risiken im Einklang mit ihrer individuellen Risikotoleranz managen. 

Die ISO 27005 definiert Best Practices für Informationssicherheitsrisiko-Management, die als konsistente Prozesse innerhalb eines weitreichenderen Frameworks zu verstehen sind und deren Umsetzung es Unternehmen ermöglicht, effektiver auf Risiken zu reagieren. 

Die ISO 27005 unterstützt ISO-27001-Compliance 

Bei der ISO-27000-Serie handelt es sich um eine Reihe von Standards zum Thema Informationssicherheit. Die ISO  27005 unterstützt Organisationen bei der Einhaltung der ISO  27001. Deshalb haben Unternehmen, die die Richtlinien der ISO  27001 befolgen, oft auch die weniger bekannte ISO  27005 implementiert, ohne sich dessen bewusst zu sein.  

Die ISO 27001 im Überblick 

Die ISO  27001 ist der führende internationale Standard für Informationssicherheit und ermöglicht es Unternehmen, ihre Informationen auf systematische und kosteneffiziente Art zu schützen. Sie sieht die Implementierung eines Informationssicherheits-Managementsystems vor.  

Unternehmen, die eine ISO-27001-Zertifizierung anstreben, müssen Folgendes nachweisen: 

  • Implementierung von Informationssicherheitsrisiko-Management 
  • Umgesetzte Maßnahmen in Bezug auf Informationssicherheitsrisiken 
  • Anwendung der relevanten Controls aus Anhang A 

Anhang A beschreibt Informationssicherheitsmaßnahmen für verschiedene Unternehmensbereiche, deren Umsetzung ein besser strukturiertes ISMS und die Einhaltung der ISO-27001-Anforderungen ermöglicht. 

ISO  27005 und ISO  27001 

Risikobewertung ist einer der wichtigsten Faktoren für ISO-27001-Compliance, und die ISO  27005 bietet Hilfestellungen zur Ermittlung und Bewertung von Sicherheitslücken sowie zur Umsetzung geeigneter Maßnahmen. Diese Prozesse sind entscheidend für den Aufbau eines Informationssicherheits-Managementsystems gemäß ISO  27001. 

Die ISO  27001 sieht vor, dass die im Rahmen eines ISMS angewendeten Controls risikobasiert sind. Mit der Implementierung eines Informationssicherheitsrisiko-Management-Plans gemäß ISO  27005 erfüllen Unternehmen diese Anforderung. 

Risikomanagement gemäß ISO  27005 

In der ISO  27005 wird keine bestimmte Risikomanagement-Methode spezifiziert. Die Norm empfiehlt stattdessen einen fortlaufenden Prozess aus sechs Phasen, die sich überschneiden können. 

Jede Hauptphase des Prozesses besteht aus vier Schritten: 

  • Input – die für eine Aktivität erforderlichen Informationen 
  • Aktion – die Aktivität 
  • Hilfestellung zur Implementierung – zusätzliche Informationen 
  • Output – die Informationen, die die Aktivität generieren soll 

Diese Struktur liefert die richtigen Informationen zu Beginn jeder Risikomanagement-Aktivität. 

Kontext festlegen 

Als ersten Schritt beim Risikomanagement gemäß ISO  27005 wird der Kontext festgelegt. Dabei werden die Kriterien für Risikobewertung und -akzeptanz eines Unternehmens definiert. Die ISO 27005 stellt Kriterien zur Ermittlung des Kontexts bereit. Wichtig ist dabei Folgendes: 

  • Risiken identifizieren 
  • Risikoeigentümer festlegen 
  • Bestimmen, wie Risiken sich auf die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen auswirken 
  • Wahrscheinlichkeit und Auswirkungen des Risikoeintritts berechnen 

Den Kontext zu ermitteln ist beim Risikomanagement entscheidend. So wird sichergestellt, dass Risikobewertungen im ganzen Unternehmen der gleichen Strategie folgen. 

Methode zur Risikobewertung bestimmen 

Bei der Entwicklung von Risikomanagement-Prozessen muss unter anderem entschieden werden, welche Bewertungsmethode zu verwenden ist – quantitativ oder qualitativ. 

Quantitative Bewertungen haben den Nachteil, dass sie auf bisherigen Daten basieren. Beim Risikomanagement liegt der Fokus auf neuen Bedrohungen. 

Qualitative Bewertungen sind grundsätzlich Schätzungen, können aber innerhalb eines abgegrenzten Bereichs präzise sein. Begriffe wie „hoch“ oder „niedrig“ sind beispielsweise zu vage, um die Auswirkungen des Risikoeintritts einzuschätzen. Folgende Bewertungskategorien sind hilfreicher: 

  • Kompletter Verlust des Assets 
  • Verlust des größten Teils eines Assets 
  • Verlust eines Teils des Assets 
  • Geringer Verlust 

Diese Art der Bewertung führt zu evidenzbasierten, präzisen Ergebnissen. 

Risikobewertung 

Der Prozess der Risikobewertung umfasst die Ermittlung und Einschätzung des Risikos. Viele Unternehmen verfolgen hier eine assetbasierte Herangehensweise. 

Die Risikoermittlung umfasst Folgendes: 

  • Ein Inventar der Informationsassets erstellen 
  • Bedrohungen und Sicherheitslücken für jedes Asset identifizieren 
  • Die Auswirkungen des Risikoeintritts für das Unternehmen ermitteln 

Bei einer Risikobewertung werden auch die Wahrscheinlichkeit des Risikoeintritts sowie dessen Auswirkungen ermittelt. Anschließend wird das Risikoniveau mit den Kriterien der Risikoakzeptanz verglichen, die beim Festlegen des Kontexts ermittelt wurden. Der Risikobewerter kann die Risiken dann in eine Rangordnung bringen, damit die schwerwiegendsten Probleme zuerst angegangen werden. 

Risikobehandlung 

Bei der Risikobehandlung wird die geeignete Strategie zur Risikominderung festgelegt. Es gibt vier Möglichkeiten: 

  • Das Risiko völlig eliminieren 
  • Das Risiko mithilfe von Informationssicherheits-Controls verringern 
  • Das Risiko mittels Versicherung oder Outsourcing auf einen Dritten übertragen 
  • Das Risiko in Kauf nehmen und keine Maßnahmen ergreifen 

Die letzte Option ist empfehlenswert, wenn die Kosten der Risikobehandlung den Nutzen überwiegen. Dies ist oft der Fall, wenn die Wahrscheinlichkeit des Risikoeintritts sehr gering ist. 

Risikoakzeptanz 

Leider gibt es keinen hundertprozentigen Schutz vor Informationssicherheitsrisiken. Ziel einer Informationssicherheitsstrategie ist es stattdessen, Maßnahmen zu ergreifen, die der individuellen Risikotoleranz des Unternehmens entsprechen. Bei der Ermittlung der Kriterien für Ihre Risikotoleranz sollte Folgendes berücksichtigt werden: 

  • Aktuelle Strategien 
  • Geschäftliche Prioritäten 
  • Ziele 
  • Interessen der Stakeholder 

Anschließend muss der Risikobewertungs- und behandlungsplan nach ISO 27005 von der Geschäftsleitung genehmigt werden. 

Es ist wichtig, sämtliche Schritte bis zu diesem Punkt sorgfältig zu dokumentieren. So sind die Methoden zur Ermittlung, Bewertung und Minderung von Risiken für Auditoren ersichtlich, und die Informationen können in Zukunft zur Referenz herangezogen werden. 

Außerdem kann die Dokumentation des ISO-27005-Prozesses als Grundlage für die Kommunikation mit Stakeholdern dienen. 

Risikokommunikation und Absprache zwischen Stakeholdern 

Eine effektive Kommunikation über den Prozess des Informationssicherheitsrisiko-Managements ist von entscheidender Bedeutung. Die Mitarbeiter, die den Plan umsetzen, müssen verstehen,warum die Maßnahmen nötig sind. Entscheidungsträger und andere Stakeholder können sich schneller auf Risikomanagement-Strategien einigen, wenn die Kommunikation stimmt. 

Außerdem muss Risikokommunikation fortlaufend sein. Ein Kommunikationsplan für reguläre Prozesse ebenso wie für Notfälle ist erforderlich. 

Risikoüberwachung und -prüfung 

Risiken können sich plötzlich und ohne Vorwarnung ändern. Deswegen ist es wichtig, die Risiken in einem Unternehmen kontinuierlich zu überwachen, damit Veränderungen schnell identifiziert und der Risikobehandlungsplan entsprechend angepasst werden kann. Folgendes sollte bei der Überwachung berücksichtigt werden: 

  • Neue Assets 
  • Veränderte Asset-Werte 
  • Neue interne oder externe Bedrohungen 
  • Informationssicherheitsvorfälle 

Mit einer kontinuierlichen Überwachung wird außerdem geprüft, ob der Risikobehandlungsplan eines Unternehmens funktioniert. Informationssicherheitsrisiko-Management ist ein fortlaufender Prozess, der aktive Beteiligung erfordert. 

Vorteile für Ihre Organisation 

  1. Die ISO 27005 ist ein flexibler Standard, der je nach Branche, Geschäftsmodell und Unternehmensgröße angepasst werden kann.  
  2. Organisationen können im Rahmen der ISO 27005 ihre eigene Risikomanagement-Strategie wählen – basierend auf den individuellen Umständen. 
  3. Die ISO 27005-Methode kann einzeln oder zur Unterstützung von ISO 27001-Compliance genutzt werden. Unternehmen, die den Richtlinien der ISO 27005 folgen, bauen ein stabileres ISMS auf. 
  4. Durch Implementierung der ISO 27005-Empfehlungen erlangt Ihr Team Erfahrung und Fachwissen im Bereich Informationssicherheit und kann so das Informationssicherheitsrisiko-Management effektiver gestalten. Sie zeigen, dass Sie in der Lage sind, Risiken zu priorisieren und proaktiv vorzugehen, um die Auswirkungen dieser Risiken zu mindern. 
  5. ISO 27005-Compliance bietet Wettbewerbsvorteile. Ihre Kunden sehen, dass Sie Informationssicherheit ernst nehmen, und können darauf vertrauen, dass ihre Daten bei Ihnen gut aufgehoben sind. 

ISO-27005-Compliance erzielen 

Mithilfe der ISO 27005 lässt sich das Informationssicherheitsrisiko-Management in Ihrem Unternehmen optimieren. Anhand der Richtlinien der Norm können Sie ein effektiveres Informationssicherheits-Managementsystem entwickeln. Außerdem unterstützt Die ISO 27005 die Einhaltung der ISO 27001. 

DataGuard hilft Ihnen gern bei der Implementierung Ihres ISMS und beim Erwerb Ihrer ISO 27001-Zertifizierung. Unsere Experten für Informationssicherheit verfügen über die nötige Erfahrung, um Ihnen eine umfassende, branchenspezifische Beratung anzubieten. Ein umfangreiches Portfolio an Services sowie eine webbasierte Informationssicherheitsplattform stehen für Sie bereit. 

Wenn Sie sich Unterstützung auf Ihrem Weg wünschen, vereinbaren Sie gern eine kostenlose Erstberatung. Zusammen entwickeln wir die optimale Informationssicherheitsrisiko-Management-Lösung für Ihr Unternehmen. 

Kostenlose Erstberatung vereinbaren

      
Veröffentlicht am Aktualisiert am
Tags Informationssicherheit ISO 27001

Über den Autor

DataGuard DataGuard
DataGuard

Mehr Artikel ansehen

Diese Themen sollten Sie nicht verpassen:

Weitere Artikel

BSI Grundschutz Zertifizierung
Informationssicherheit

3 Min

BSI Grundschutz Zertifizierung

Entdecken Sie die BSI-Grundschutz-Zertifizierung für starke Informationssicherheit und bleiben Sie auf dem neuesten Stand der Praktiken.

Weiterlesen
Was ist Datenmanagement?
Informationssicherheit

3 Min

Was ist Datenmanagement?

Erfahren Sie, warum Datenmanagement wichtig ist und wie Sie es effektiv nutzen können. Bewährte Praktiken und Tools.

Weiterlesen
Was ist Big Data Analytics?
Informationssicherheit

6 Min

Was ist Big Data Analytics?

Big Data Analytics bietet z.B. verbesserte Entscheidungsfindung und Kundenerfahrung. Erfahren Sie, wie Techniken wie maschinelles Lernen genutzt werden.

Weiterlesen
American Privacy Rights Act (APRA): Was der Entwurf für EU-Unternehmen und Behörden bedeuten kann
Informationssicherheit

3 Min

American Privacy Rights Act (APRA): Was der Entwurf für EU-Unternehmen und Behörden bedeuten kann

Der US-Kongress hat einen Entwurf für neue US-Datenschutzgesetze vorgelegt. Hier erfahren Sie, was der American Privacy Rights Act (APRA) für Ihr Unternehmen bedeuten könnte.

Weiterlesen
Was ist eine ITIL-Zertifizierung?
Informationssicherheit

6 Min

Was ist eine ITIL-Zertifizierung?

Entdecken Sie die Vorteile der ITIL-Zertifizierung: Steigern Sie Ihr Verdienstpotenzial und verbessern Sie Ihre IT-Services.

Weiterlesen
Welche IT-Systeme gibt es?
Informationssicherheit

6 Min

Welche IT-Systeme gibt es?

Erfahren Sie, wie IT-Systeme moderne Unternehmen stärken, von Hardware und Software bis hin zu Cloud Computing und Cybersicherheit.

Weiterlesen

Sprechen Sie unser Sales-Team an

Erfahren Sie, wie DataGuard Ihnen helfen kann.

Finden Sie heraus, wie unsere Datenschutz-, Informationssicherheits- und Compliance-Lösung Vertrauen stärkt, Risiken minimiert und Umsatz steigert.

  • bis heute 100% Erfolgsquote bei ISO 27001 Audits
  • 40% Reduzierung bei Gesamtbetriebskosten (TCO)
  • Eine skalierbare und einfach zu verstehende Web-Plattform
  • Praktisch umsetzbare Handlungsempfehlungen unserer Experten

Vertrauen von mehr als Kunden

Canon Logo Contact Holiday Inn Logo Contact Unicef Logo Contact Burger King Logo Contact Veganz Logo Contact Fressnapf Logo Contact Völkl Logo Contact Arri Logo Contact Free Now Logo Contact

Lernen Sie DataGuard kennen

Fordern Sie noch heute Ihr Angebot an

Ihre Vorteile im Überblick

  • Benennung eines externen Datenschutzbeauftragten
  • Audit Ihrer Datenverarbeitungsvorgänge
  • Unterstützung rund um AV-Verträge, VVT, TOM, Schulung, u.v.m.
  • Personalisierte Betreuung durch Ihren Ansprechpartner 
  • Skalierbar für KMU und Konzerne
  • 100+ Experten aus den Bereichen Recht, Wirtschaft & IT

Vertrauen von mehr als Kunden

Canon Logo Contact Holiday Inn Logo Contact Unicef Logo Contact Burger King Logo Contact Veganz Logo Contact Fressnapf Logo Contact Völkl Logo Contact Arri Logo Contact Free Now Logo Contact

Lernen Sie DataGuard kennen

Vereinfachung Ihrer Compliance-Prozesse

Ihre Vorteile im Überblick

  • Kontinuierliche Unterstützung auf Ihrem Weg zur Zertifizierung nach ISO 27001 und TISAX®️, sowie NIS2 Compliance
  • Profitieren Sie von persönlicher Beratung
  • Bauen Sie ein strukturiertes ISMS mit unserer InfoSec-Plattform auf
  • Automatische Erstellung verpflichtender Dokumente
Certified-Icon

100% Erfolgsquote unserer Kunden bei Audits nach ISO 27001

TISAX® ist eine eingetragene Marke der ENX Association. DataGuard steht in keiner geschäftlichen Verbindung zu ENX. Wir bieten lediglich Beratung und Unterstützung zur Vorbereitung auf das Assessment nach TISAX® an. Die ENX Association übernimmt keine Verantwortung für die auf der DataGuard-Website dargestellten Inhalte.

Vertrauen von mehr als Kunden

Canon Logo Contact Holiday Inn Logo Contact Unicef Logo Contact Burger King Logo Contact Veganz Logo Contact Fressnapf Logo Contact Völkl Logo Contact Arri Logo Contact Free Now Logo Contact

Lernen Sie DataGuard kennen

Jetzt durchstarten

  • Datenschutzkonforme und transparente Einholung von Einwilligungen
  • Konform mit DSGVO, CCPS, LGPD, ePrivacy
  • Langfristig wertvollere Daten
  • Zentraler Überblick: Ihre Single Source of Truth
  • Persönlicher Support durch Experten bei jedem Schritt
  • Einfache Integration in alle Ihre Marketing-Tools und CRM

Vertrauen von mehr als Kunden

Canon Logo Contact Holiday Inn Logo Contact Unicef Logo Contact Burger King Logo Contact Veganz Logo Contact Fressnapf Logo Contact Völkl Logo Contact Arri Logo Contact Free Now Logo Contact

Lernen Sie DataGuard kennen

Jetzt Angebot anfragen

  • Proaktive statt reaktive Unterstützung
  • Erstellung der wichtigsten Dokumente und Richtlinien
  • Umfassendes Compliance-Management
  • Mitarbeiterschulungen
  • Digitales Compliance-Management-System
  • Beratung durch erfahrene Branchenexperten

Vertrauen von mehr als Kunden

Canon Logo Contact Holiday Inn Logo Contact Unicef Logo Contact Burger King Logo Contact Veganz Logo Contact Fressnapf Logo Contact Völkl Logo Contact Arri Logo Contact Free Now Logo Contact

Lernen Sie DataGuard kennen

Jetzt Angebot anfragen

  • Einhalten der EU-Whistleblower-Richtlinie
  • Digitales Whistleblowing-System
  • Einfache und schnelle Implementierung
  • Zentrale Datenquelle
  • Sicher und gesetzeskonform
  • Klares und transparentes Reporting

Vertrauen von mehr als Kunden

Canon Logo Contact Holiday Inn Logo Contact Unicef Logo Contact Burger King Logo Contact Veganz Logo Contact Fressnapf Logo Contact Völkl Logo Contact Arri Logo Contact Free Now Logo Contact

Jetzt Termin vereinbaren