Aufbau eines zertifizierten Risikomanagements anhand der ISO 27005

Sicherheitsteams brauchen durchschnittlich 287 Tage, um einen Datenschutzverstoß zu identifizieren und unter Kontrolle zu bringen. Und die rasanten technologischen Fortschritte unserer Zeit bringen leider auch immer wieder neue Sicherheitsbedrohungen mit sich. 

Um die Informationsassets und das geistige Eigentum Ihres Unternehmens zu schützen, sollten Sie solide Informationssicherheitspraktiken etablieren. In diesem Artikel erläutern wir, wie die ISO 27005 Ihnen dabei helfen kann.  

Ziel dieser internationalen Norm ist die Durchführung einer präziseren Informationssicherheitsrisiko-Bewertung, auf deren Grundlage Sie Ihr Informationssicherheits-Managementsystem (ISMS) optimieren können.  

Die ISO 27005 ist außerdem hilfreich für den Erwerb einer ISO-27001-Zertifizierung – mehr dazu später.  

Was ist die ISO 27005? 

Die ISO  27005 ist ein Standard, der von der Internationalen Organisation für Normung (International Organization for Standardization, ISO) in Zusammenarbeit mit der Internationalen Elektrotechnischen Kommission (International Electrotechnical Commission, IEC) entwickelt wurde. Der offizielle Titel lautet „Information Technology – Security Techniques – Information Security Risk Management“ (Informationstechnik – IT-Sicherheitsverfahren – Informationssicherheitsrisiko-Management). 

Die Norm wurde 2018 zuletzt aktualisiert und enthält eine Anleitung für die Durchführung einer Informationssicherheitsrisiko-Bewertung gemäß ISO  27001. 

Die ISO 27005 ist für Unternehmen aller Größen und Branchen relevant und gibt daher keine strikten Bestimmungen vor. Stattdessen werden bewährte Verfahren empfohlen, die für ein typisches Informationssicherheits-Managementsystem (ISMS) geeignet sind. 

Die ISO 27005 enthält Richtlinien für Prozesse, die für Aufbau und Optimierung eines ISMS entscheidend sind. Dazu gehören die Ermittlung und Bewertung von Informationssicherheitslücken sowie entsprechende Maßnahmen zu deren Behebung. Anhand der Best Practices der Norm können Organisationen Informationssicherheits-Controls und andere Maßnahmen effektiver umsetzen. 

Die ISO 27005 liefert ein Framework für Informationssicherheitsrisiko-Management, das die Erstellung, Ausführung, Überwachung und Verwaltung eines Risikomanagementplans umfasst. 

Informationssicherheitsrisiko-Management und die ISO 27005 

Mithilfe von Informationssicherheitsrisiko-Management lassen sich Risiken im IT-Bereich ermitteln und mindern. Es handelt sich um einen fortlaufenden Prozess, der Folgendes umfasst: 

  • Risiken identifizieren und bewerten 
  • Wahrscheinlichkeit des Risikoeintritts und Konsequenzen ermitteln 
  • Prioritäten für die Risikobehandlung festlegen 
  • Stakeholder an Entscheidungen in Bezug auf Risikomanagement beteiligen 
  • Effektivität der Risikominderung überwachen 
  • Stakeholder über Risiken und Maßnahmen zu deren Minderung informieren 

Informationssicherheitsrisiken können die Vertraulichkeit von Daten, den Ruf des Unternehmens und die Verfügbarkeit von Assets beeinträchtigen. 

Ziel des Informationssicherheitsrisiko-Managements ist nicht, alle Risiken auszumerzen, sondern ein angemessenes Risikoniveau zu ermitteln und beizubehalten. Organisationen sollten Risiken im Einklang mit ihrer individuellen Risikotoleranz managen. 

Die ISO 27005 definiert Best Practices für Informationssicherheitsrisiko-Management, die als konsistente Prozesse innerhalb eines weitreichenderen Frameworks zu verstehen sind und deren Umsetzung es Unternehmen ermöglicht, effektiver auf Risiken zu reagieren. 

Die ISO 27005 unterstützt ISO-27001-Compliance 

Bei der ISO-27000-Serie handelt es sich um eine Reihe von Standards zum Thema Informationssicherheit. Die ISO  27005 unterstützt Organisationen bei der Einhaltung der ISO  27001. Deshalb haben Unternehmen, die die Richtlinien der ISO  27001 befolgen, oft auch die weniger bekannte ISO  27005 implementiert, ohne sich dessen bewusst zu sein.  

Die ISO 27001 im Überblick 

Die ISO  27001 ist der führende internationale Standard für Informationssicherheit und ermöglicht es Unternehmen, ihre Informationen auf systematische und kosteneffiziente Art zu schützen. Sie sieht die Implementierung eines Informationssicherheits-Managementsystems vor.  

Unternehmen, die eine ISO-27001-Zertifizierung anstreben, müssen Folgendes nachweisen: 

  • Implementierung von Informationssicherheitsrisiko-Management 
  • Umgesetzte Maßnahmen in Bezug auf Informationssicherheitsrisiken 
  • Anwendung der relevanten Controls aus Anhang A 

Anhang A beschreibt Informationssicherheitsmaßnahmen für verschiedene Unternehmensbereiche, deren Umsetzung ein besser strukturiertes ISMS und die Einhaltung der ISO-27001-Anforderungen ermöglicht. 

ISO  27005 und ISO  27001 

Risikobewertung ist einer der wichtigsten Faktoren für ISO-27001-Compliance, und die ISO  27005 bietet Hilfestellungen zur Ermittlung und Bewertung von Sicherheitslücken sowie zur Umsetzung geeigneter Maßnahmen. Diese Prozesse sind entscheidend für den Aufbau eines Informationssicherheits-Managementsystems gemäß ISO  27001. 

Die ISO  27001 sieht vor, dass die im Rahmen eines ISMS angewendeten Controls risikobasiert sind. Mit der Implementierung eines Informationssicherheitsrisiko-Management-Plans gemäß ISO  27005 erfüllen Unternehmen diese Anforderung. 

Risikomanagement gemäß ISO  27005 

In der ISO  27005 wird keine bestimmte Risikomanagement-Methode spezifiziert. Die Norm empfiehlt stattdessen einen fortlaufenden Prozess aus sechs Phasen, die sich überschneiden können. 

Jede Hauptphase des Prozesses besteht aus vier Schritten: 

  • Input – die für eine Aktivität erforderlichen Informationen 
  • Aktion – die Aktivität 
  • Hilfestellung zur Implementierung – zusätzliche Informationen 
  • Output – die Informationen, die die Aktivität generieren soll 

Diese Struktur liefert die richtigen Informationen zu Beginn jeder Risikomanagement-Aktivität. 

Kontext festlegen 

Als ersten Schritt beim Risikomanagement gemäß ISO  27005 wird der Kontext festgelegt. Dabei werden die Kriterien für Risikobewertung und -akzeptanz eines Unternehmens definiert. Die ISO 27005 stellt Kriterien zur Ermittlung des Kontexts bereit. Wichtig ist dabei Folgendes: 

  • Risiken identifizieren 
  • Risikoeigentümer festlegen 
  • Bestimmen, wie Risiken sich auf die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen auswirken 
  • Wahrscheinlichkeit und Auswirkungen des Risikoeintritts berechnen 

Den Kontext zu ermitteln ist beim Risikomanagement entscheidend. So wird sichergestellt, dass Risikobewertungen im ganzen Unternehmen der gleichen Strategie folgen. 

Methode zur Risikobewertung bestimmen 

Bei der Entwicklung von Risikomanagement-Prozessen muss unter anderem entschieden werden, welche Bewertungsmethode zu verwenden ist – quantitativ oder qualitativ. 

Quantitative Bewertungen haben den Nachteil, dass sie auf bisherigen Daten basieren. Beim Risikomanagement liegt der Fokus auf neuen Bedrohungen. 

Qualitative Bewertungen sind grundsätzlich Schätzungen, können aber innerhalb eines abgegrenzten Bereichs präzise sein. Begriffe wie „hoch“ oder „niedrig“ sind beispielsweise zu vage, um die Auswirkungen des Risikoeintritts einzuschätzen. Folgende Bewertungskategorien sind hilfreicher: 

  • Kompletter Verlust des Assets 
  • Verlust des größten Teils eines Assets 
  • Verlust eines Teils des Assets 
  • Geringer Verlust 

Diese Art der Bewertung führt zu evidenzbasierten, präzisen Ergebnissen. 

Risikobewertung 

Der Prozess der Risikobewertung umfasst die Ermittlung und Einschätzung des Risikos. Viele Unternehmen verfolgen hier eine assetbasierte Herangehensweise. 

Die Risikoermittlung umfasst Folgendes: 

  • Ein Inventar der Informationsassets erstellen 
  • Bedrohungen und Sicherheitslücken für jedes Asset identifizieren 
  • Die Auswirkungen des Risikoeintritts für das Unternehmen ermitteln 

Bei einer Risikobewertung werden auch die Wahrscheinlichkeit des Risikoeintritts sowie dessen Auswirkungen ermittelt. Anschließend wird das Risikoniveau mit den Kriterien der Risikoakzeptanz verglichen, die beim Festlegen des Kontexts ermittelt wurden. Der Risikobewerter kann die Risiken dann in eine Rangordnung bringen, damit die schwerwiegendsten Probleme zuerst angegangen werden. 

Risikobehandlung 

Bei der Risikobehandlung wird die geeignete Strategie zur Risikominderung festgelegt. Es gibt vier Möglichkeiten: 

  • Das Risiko völlig eliminieren 
  • Das Risiko mithilfe von Informationssicherheits-Controls verringern 
  • Das Risiko mittels Versicherung oder Outsourcing auf einen Dritten übertragen 
  • Das Risiko in Kauf nehmen und keine Maßnahmen ergreifen 

Die letzte Option ist empfehlenswert, wenn die Kosten der Risikobehandlung den Nutzen überwiegen. Dies ist oft der Fall, wenn die Wahrscheinlichkeit des Risikoeintritts sehr gering ist. 

Risikoakzeptanz 

Leider gibt es keinen hundertprozentigen Schutz vor Informationssicherheitsrisiken. Ziel einer Informationssicherheitsstrategie ist es stattdessen, Maßnahmen zu ergreifen, die der individuellen Risikotoleranz des Unternehmens entsprechen. Bei der Ermittlung der Kriterien für Ihre Risikotoleranz sollte Folgendes berücksichtigt werden: 

  • Aktuelle Strategien 
  • Geschäftliche Prioritäten 
  • Ziele 
  • Interessen der Stakeholder 

Anschließend muss der Risikobewertungs- und behandlungsplan nach ISO 27005 von der Geschäftsleitung genehmigt werden. 

Es ist wichtig, sämtliche Schritte bis zu diesem Punkt sorgfältig zu dokumentieren. So sind die Methoden zur Ermittlung, Bewertung und Minderung von Risiken für Auditoren ersichtlich, und die Informationen können in Zukunft zur Referenz herangezogen werden. 

Außerdem kann die Dokumentation des ISO-27005-Prozesses als Grundlage für die Kommunikation mit Stakeholdern dienen. 

Risikokommunikation und Absprache zwischen Stakeholdern 

Eine effektive Kommunikation über den Prozess des Informationssicherheitsrisiko-Managements ist von entscheidender Bedeutung. Die Mitarbeiter, die den Plan umsetzen, müssen verstehen, warum die Maßnahmen nötig sind. Entscheidungsträger und andere Stakeholder können sich schneller auf Risikomanagement-Strategien einigen, wenn die Kommunikation stimmt. 

Außerdem muss Risikokommunikation fortlaufend sein. Ein Kommunikationsplan für reguläre Prozesse ebenso wie für Notfälle ist erforderlich. 

Risikoüberwachung und -prüfung 

Risiken können sich plötzlich und ohne Vorwarnung ändern. Deswegen ist es wichtig, die Risiken in einem Unternehmen kontinuierlich zu überwachen, damit Veränderungen schnell identifiziert und der Risikobehandlungsplan entsprechend angepasst werden kann. Folgendes sollte bei der Überwachung berücksichtigt werden: 

  • Neue Assets 
  • Veränderte Asset-Werte 
  • Neue interne oder externe Bedrohungen 
  • Informationssicherheitsvorfälle 

Mit einer kontinuierlichen Überwachung wird außerdem geprüft, ob der Risikobehandlungsplan eines Unternehmens funktioniert. Informationssicherheitsrisiko-Management ist ein fortlaufender Prozess, der aktive Beteiligung erfordert. 

Vorteile für Ihre Organisation 

  1. Die ISO 27005 ist ein flexibler Standard, der je nach Branche, Geschäftsmodell und Unternehmensgröße angepasst werden kann.  
  2. Organisationen können im Rahmen der ISO 27005 ihre eigene Risikomanagement-Strategie wählen – basierend auf den individuellen Umständen. 
  3. Die ISO 27005-Methode kann einzeln oder zur Unterstützung von ISO 27001-Compliance genutzt werden. Unternehmen, die den Richtlinien der ISO 27005 folgen, bauen ein stabileres ISMS auf. 
  4. Durch Implementierung der ISO 27005-Empfehlungen erlangt Ihr Team Erfahrung und Fachwissen im Bereich Informationssicherheit und kann so das Informationssicherheitsrisiko-Management effektiver gestalten. Sie zeigen, dass Sie in der Lage sind, Risiken zu priorisieren und proaktiv vorzugehen, um die Auswirkungen dieser Risiken zu mindern. 
  5. ISO 27005-Compliance bietet Wettbewerbsvorteile. Ihre Kunden sehen, dass Sie Informationssicherheit ernst nehmen, und können darauf vertrauen, dass ihre Daten bei Ihnen gut aufgehoben sind. 

ISO-27005-Compliance erzielen 

Mithilfe der ISO 27005 lässt sich das Informationssicherheitsrisiko-Management in Ihrem Unternehmen optimieren. Anhand der Richtlinien der Norm können Sie ein effektiveres Informationssicherheits-Managementsystem entwickeln. Außerdem unterstützt Die ISO 27005 die Einhaltung der ISO 27001. 

DataGuard hilft Ihnen gern bei der Implementierung Ihres ISMS und beim Erwerb Ihrer ISO 27001-Zertifizierung. Unsere Experten für Informationssicherheit verfügen über die nötige Erfahrung, um Ihnen eine umfassende, branchenspezifische Beratung anzubieten. Ein umfangreiches Portfolio an Services sowie eine webbasierte Informationssicherheitsplattform stehen für Sie bereit. 

Wenn Sie mehr wissen möchten, vereinbaren Sie gern eine kostenlose Erstberatung. Zusammen entwickeln wir die optimale Informationssicherheitsrisiko-Management-Lösung für Ihr Unternehmen. 

Kostenlose Erstberatung vereinbaren

      

Über den Autor

Lernen Sie DataGuard kennen

Fordern Sie noch heute Ihr Angebot an

Ihre Vorteile auf einen Blick

  • Datenschutz, Informationssicherheit und Compliance aus einer Hand
  • Individuelle Beratung durch qualifizierte Experten – ganz ohne Fachjargon
  • Zeitsparende Technologie zur Automatisierung repetitiver Aufgaben
  • Faire und transparente Preise für optimale Planbarkeit und Budgetierung

Über zufriedene Kunden vertrauen unserer bequemen Rundumlösung

Canon  Logo Contact Hyatt Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Escada Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact K Line  Logo Contact

Lernen Sie DataGuard kennen

Fordern Sie noch heute Ihr Angebot an

Ihre Vorteile im Überblick

  • Benennung eines externen Datenschutzbeauftragten
  • Audit Ihrer Datenverarbeitungsvorgänge
  • Unterstützung rund um AV-Verträge, VVT, TOM, Schulung, u.v.m.
  • Personalisierte Betreuung durch Ihren Ansprechpartner 
  • Skalierbar für KMU und Konzerne
  • 100+ Experten aus den Bereichen Recht, Wirtschaft & IT

Über zufriedene Kunden vertrauen unserer bequemen Rundumlösung

Canon  Logo Contact Hyatt Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Escada Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact K Line  Logo Contact

Lernen Sie DataGuard kennen

Fordern Sie noch heute Ihr Angebot an

Ihre Vorteile im Überblick

  • Externer Informationssicherheitsbeauftragter (ISB) oder Expertenbetreuung auf Augenhöhe
  • Persönlicher Ansprechpartner
  • Vorbereitung auf Ihre Zertifizierung nach ISO 27001 & TISAX®️
  • 100+ Experten aus Recht, Wirtschaft & IT
 

Über zufriedene Kunden vertrauen unserer bequemen Rundumlösung

Canon  Logo Contact Hyatt Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Escada Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact K Line  Logo Contact

Lernen Sie DataGuard kennen

Jetzt Angebot anfragen

  • Proaktive statt reaktive Unterstützung
  • Erstellung der wichtigsten Dokumente und Richtlinien
  • Umfassendes Compliance-Management
  • Mitarbeiterschulungen
  • Digitales Compliance-Management-System
  • Beratung durch erfahrene Branchenexperten

Über zufriedene Kunden vertrauen unserer bequemen Rundumlösung

Canon  Logo Contact Hyatt Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Escada Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact K Line  Logo Contact

Lernen Sie DataGuard kennen

Jetzt Angebot anfragen

  • Einhalten der EU-Whistleblower-Richtlinie
  • Digitales Whistleblowing-System
  • Einfache und schnelle Implementierung
  • Zentrale Datenquelle
  • Sicher und gesetzeskonform
  • Klares und transparentes Reporting

Über zufriedene Kunden vertrauen unserer bequemen Rundumlösung

Canon  Logo Contact Hyatt Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Escada Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact K Line  Logo Contact

Jetzt Termin vereinbaren

ODER RUFEN SIE UNS AN:(089) 8967 551 000