Sicherheitsteams benötigen durchschnittlich 287 Tage, um Datenschutzverstöße zu identifizieren und unter Kontrolle zu bringen. Die ständig wachsenden technologischen Fortschritte unserer Zeit bringen jedoch auch neue Sicherheitsbedrohungen mit sich.
Um die Informationsassets und das geistige Eigentum Ihres Unternehmens effektiv zu schützen, ist es entscheidend, solide Informationssicherheitspraktiken zu etablieren. In diesem Artikel erklären wir, wie die ISO 27005 Ihnen dabei helfen kann.
Das Ziel dieser internationalen Norm besteht darin, eine präzise Bewertung der Informationssicherheitsrisiken durchzuführen, auf deren Grundlage Sie Ihr Informationssicherheits-Managementsystem (ISMS) optimieren können.
Die ISO 27005 ist auch für den Erwerb einer ISO-27001-Zertifizierung äußerst hilfreich – mehr dazu in diesem Blogbeitrag.
Was ist die ISO 27005?
Die ISO 27005 ist ein Standard, der von der Internationalen Organisation für Normung (International Organization for Standardization, ISO) in Zusammenarbeit mit der Internationalen Elektrotechnischen Kommission (International Electrotechnical Commission, IEC) entwickelt wurde. Der offizielle Titel lautet „Information Technology – Security Techniques – Information Security Risk Management“ (Informationstechnik – IT-Sicherheitsverfahren – Informationssicherheitsrisiko-Management).
Die Norm wurde 2018 zuletzt aktualisiert und enthält eine Anleitung für die Durchführung einer Informationssicherheitsrisiko-Bewertung gemäß ISO 27001.
Die ISO 27005 ist für Unternehmen aller Größen und Branchen relevant und gibt daher keine strikten Bestimmungen vor. Stattdessen werden bewährte Verfahren empfohlen, die für ein typisches Informationssicherheits-Managementsystem (ISMS) geeignet sind.
Die ISO 27005 enthält Richtlinien für Prozesse, die für Aufbau und Optimierung eines ISMS entscheidend sind. Dazu gehören die Ermittlung und Bewertung von Informationssicherheitslücken sowie entsprechende Maßnahmen zu deren Behebung. Anhand der Best Practices der Norm können Organisationen Informationssicherheits-Controls und andere Maßnahmen effektiver umsetzen.
Die ISO 27005 liefert ein Framework für Informationssicherheitsrisiko-Management, das die Erstellung, Ausführung, Überwachung und Verwaltung eines Risikomanagementplans umfasst.
Informationssicherheitsrisiko-Management und die ISO 27005
Mithilfe von Informationssicherheitsrisiko-Management lassen sich Risiken im IT-Bereich ermitteln und mindern. Es handelt sich um einen fortlaufenden Prozess, der Folgendes umfasst:
- Risiken identifizieren und bewerten
- Wahrscheinlichkeit des Risikoeintritts und Konsequenzen ermitteln
- Prioritäten für die Risikobehandlung festlegen
- Stakeholder an Entscheidungen in Bezug auf Risikomanagement beteiligen
- Effektivität der Risikominderung überwachen
- Stakeholder über Risiken und Maßnahmen zu deren Minderung informieren
Informationssicherheitsrisiken können die Vertraulichkeit von Daten, den Ruf des Unternehmens und die Verfügbarkeit von Assets beeinträchtigen.
Ziel des Informationssicherheitsrisiko-Managements ist nicht, alle Risiken auszumerzen, sondern ein angemessenes Risikoniveau zu ermitteln und beizubehalten. Organisationen sollten Risiken im Einklang mit ihrer individuellen Risikotoleranz managen.
Die ISO 27005 definiert Best Practices für Informationssicherheitsrisiko-Management, die als konsistente Prozesse innerhalb eines weitreichenderen Frameworks zu verstehen sind und deren Umsetzung es Unternehmen ermöglicht, effektiver auf Risiken zu reagieren.
Die ISO 27005 unterstützt ISO-27001-Compliance
Bei der ISO-27000-Serie handelt es sich um eine Reihe von Standards zum Thema Informationssicherheit. Die ISO 27005 unterstützt Organisationen bei der Einhaltung der ISO 27001. Deshalb haben Unternehmen, die die Richtlinien der ISO 27001 befolgen, oft auch die weniger bekannte ISO 27005 implementiert, ohne sich dessen bewusst zu sein.
Die ISO 27001 im Überblick
Die ISO 27001 ist der führende internationale Standard für Informationssicherheit und ermöglicht es Unternehmen, ihre Informationen auf systematische und kosteneffiziente Art zu schützen. Sie sieht die Implementierung eines Informationssicherheits-Managementsystems vor.
Unternehmen, die eine ISO-27001-Zertifizierung anstreben, müssen Folgendes nachweisen:
- Implementierung von Informationssicherheitsrisiko-Management
- Umgesetzte Maßnahmen in Bezug auf Informationssicherheitsrisiken
- Anwendung der relevanten Controls aus Anhang A
Anhang A beschreibt Informationssicherheitsmaßnahmen für verschiedene Unternehmensbereiche, deren Umsetzung ein besser strukturiertes ISMS und die Einhaltung der ISO-27001-Anforderungen ermöglicht.
ISO 27005 und ISO 27001
Risikobewertung ist einer der wichtigsten Faktoren für ISO-27001-Compliance, und die ISO 27005 bietet Hilfestellungen zur Ermittlung und Bewertung von Sicherheitslücken sowie zur Umsetzung geeigneter Maßnahmen. Diese Prozesse sind entscheidend für den Aufbau eines Informationssicherheits-Managementsystems gemäß ISO 27001.
Die ISO 27001 sieht vor, dass die im Rahmen eines ISMS angewendeten Controls risikobasiert sind. Mit der Implementierung eines Informationssicherheitsrisiko-Management-Plans gemäß ISO 27005 erfüllen Unternehmen diese Anforderung.
Risikomanagement gemäß ISO 27005
In der ISO 27005 wird keine bestimmte Risikomanagement-Methode spezifiziert. Die Norm empfiehlt stattdessen einen fortlaufenden Prozess aus sechs Phasen, die sich überschneiden können.
Jede Hauptphase des Prozesses besteht aus vier Schritten:
- Input – die für eine Aktivität erforderlichen Informationen
- Aktion – die Aktivität
- Hilfestellung zur Implementierung – zusätzliche Informationen
- Output – die Informationen, die die Aktivität generieren soll
Diese Struktur liefert die richtigen Informationen zu Beginn jeder Risikomanagement-Aktivität.
Kontext festlegen
Als ersten Schritt beim Risikomanagement gemäß ISO 27005 wird der Kontext festgelegt. Dabei werden die Kriterien für Risikobewertung und -akzeptanz eines Unternehmens definiert. Die ISO 27005 stellt Kriterien zur Ermittlung des Kontexts bereit. Wichtig ist dabei Folgendes:
- Risiken identifizieren
- Risikoeigentümer festlegen
- Bestimmen, wie Risiken sich auf die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen auswirken
- Wahrscheinlichkeit und Auswirkungen des Risikoeintritts berechnen
Den Kontext zu ermitteln ist beim Risikomanagement entscheidend. So wird sichergestellt, dass Risikobewertungen im ganzen Unternehmen der gleichen Strategie folgen.
Methode zur Risikobewertung bestimmen
Bei der Entwicklung von Risikomanagement-Prozessen muss unter anderem entschieden werden, welche Bewertungsmethode zu verwenden ist – quantitativ oder qualitativ.
Quantitative Bewertungen haben den Nachteil, dass sie auf bisherigen Daten basieren. Beim Risikomanagement liegt der Fokus auf neuen Bedrohungen.
Qualitative Bewertungen sind grundsätzlich Schätzungen, können aber innerhalb eines abgegrenzten Bereichs präzise sein. Begriffe wie „hoch“ oder „niedrig“ sind beispielsweise zu vage, um die Auswirkungen des Risikoeintritts einzuschätzen. Folgende Bewertungskategorien sind hilfreicher:
- Kompletter Verlust des Assets
- Verlust des größten Teils eines Assets
- Verlust eines Teils des Assets
- Geringer Verlust
Diese Art der Bewertung führt zu evidenzbasierten, präzisen Ergebnissen.
Risikobewertung
Der Prozess der Risikobewertung umfasst die Ermittlung und Einschätzung des Risikos. Viele Unternehmen verfolgen hier eine assetbasierte Herangehensweise.
Die Risikoermittlung umfasst Folgendes:
- Ein Inventar der Informationsassets erstellen
- Bedrohungen und Sicherheitslücken für jedes Asset identifizieren
- Die Auswirkungen des Risikoeintritts für das Unternehmen ermitteln
Bei einer Risikobewertung werden auch die Wahrscheinlichkeit des Risikoeintritts sowie dessen Auswirkungen ermittelt. Anschließend wird das Risikoniveau mit den Kriterien der Risikoakzeptanz verglichen, die beim Festlegen des Kontexts ermittelt wurden. Der Risikobewerter kann die Risiken dann in eine Rangordnung bringen, damit die schwerwiegendsten Probleme zuerst angegangen werden.
Risikobehandlung
Bei der Risikobehandlung wird die geeignete Strategie zur Risikominderung festgelegt. Es gibt vier Möglichkeiten:
- Das Risiko völlig eliminieren
- Das Risiko mithilfe von Informationssicherheits-Controls verringern
- Das Risiko mittels Versicherung oder Outsourcing auf einen Dritten übertragen
- Das Risiko in Kauf nehmen und keine Maßnahmen ergreifen
Die letzte Option ist empfehlenswert, wenn die Kosten der Risikobehandlung den Nutzen überwiegen. Dies ist oft der Fall, wenn die Wahrscheinlichkeit des Risikoeintritts sehr gering ist.
Risikoakzeptanz
Leider gibt es keinen hundertprozentigen Schutz vor Informationssicherheitsrisiken. Ziel einer Informationssicherheitsstrategie ist es stattdessen, Maßnahmen zu ergreifen, die der individuellen Risikotoleranz des Unternehmens entsprechen. Bei der Ermittlung der Kriterien für Ihre Risikotoleranz sollte Folgendes berücksichtigt werden:
- Aktuelle Strategien
- Geschäftliche Prioritäten
- Ziele
- Interessen der Stakeholder
Anschließend muss der Risikobewertungs- und behandlungsplan nach ISO 27005 von der Geschäftsleitung genehmigt werden.
Es ist wichtig, sämtliche Schritte bis zu diesem Punkt sorgfältig zu dokumentieren. So sind die Methoden zur Ermittlung, Bewertung und Minderung von Risiken für Auditoren ersichtlich, und die Informationen können in Zukunft zur Referenz herangezogen werden.
Außerdem kann die Dokumentation des ISO-27005-Prozesses als Grundlage für die Kommunikation mit Stakeholdern dienen.
Risikokommunikation und Absprache zwischen Stakeholdern
Eine effektive Kommunikation über den Prozess des Informationssicherheitsrisiko-Managements ist von entscheidender Bedeutung. Die Mitarbeiter, die den Plan umsetzen, müssen verstehen, warum die Maßnahmen nötig sind. Entscheidungsträger und andere Stakeholder können sich schneller auf Risikomanagement-Strategien einigen, wenn die Kommunikation stimmt.
Außerdem muss Risikokommunikation fortlaufend sein. Ein Kommunikationsplan für reguläre Prozesse ebenso wie für Notfälle ist erforderlich.
Risikoüberwachung und -prüfung
Risiken können sich plötzlich und ohne Vorwarnung ändern. Deswegen ist es wichtig, die Risiken in einem Unternehmen kontinuierlich zu überwachen, damit Veränderungen schnell identifiziert und der Risikobehandlungsplan entsprechend angepasst werden kann. Folgendes sollte bei der Überwachung berücksichtigt werden:
- Neue Assets
- Veränderte Asset-Werte
- Neue interne oder externe Bedrohungen
- Informationssicherheitsvorfälle
Mit einer kontinuierlichen Überwachung wird außerdem geprüft, ob der Risikobehandlungsplan eines Unternehmens funktioniert. Informationssicherheitsrisiko-Management ist ein fortlaufender Prozess, der aktive Beteiligung erfordert.
Vorteile für Ihre Organisation
- Die ISO 27005 ist ein flexibler Standard, der je nach Branche, Geschäftsmodell und Unternehmensgröße angepasst werden kann.
- Organisationen können im Rahmen der ISO 27005 ihre eigene Risikomanagement-Strategie wählen – basierend auf den individuellen Umständen.
- Die ISO 27005-Methode kann einzeln oder zur Unterstützung von ISO 27001-Compliance genutzt werden. Unternehmen, die den Richtlinien der ISO 27005 folgen, bauen ein stabileres ISMS auf.
- Durch Implementierung der ISO 27005-Empfehlungen erlangt Ihr Team Erfahrung und Fachwissen im Bereich Informationssicherheit und kann so das Informationssicherheitsrisiko-Management effektiver gestalten. Sie zeigen, dass Sie in der Lage sind, Risiken zu priorisieren und proaktiv vorzugehen, um die Auswirkungen dieser Risiken zu mindern.
- ISO 27005-Compliance bietet Wettbewerbsvorteile. Ihre Kunden sehen, dass Sie Informationssicherheit ernst nehmen, und können darauf vertrauen, dass ihre Daten bei Ihnen gut aufgehoben sind.
ISO-27005-Compliance erzielen
Mithilfe der ISO 27005 lässt sich das Informationssicherheitsrisiko-Management in Ihrem Unternehmen optimieren. Anhand der Richtlinien der Norm können Sie ein effektiveres Informationssicherheits-Managementsystem entwickeln. Außerdem unterstützt Die ISO 27005 die Einhaltung der ISO 27001.
DataGuard hilft Ihnen gern bei der Implementierung Ihres ISMS und beim Erwerb Ihrer ISO 27001-Zertifizierung. Unsere Experten für Informationssicherheit verfügen über die nötige Erfahrung, um Ihnen eine umfassende, branchenspezifische Beratung anzubieten. Ein umfangreiches Portfolio an Services sowie eine webbasierte Informationssicherheitsplattform stehen für Sie bereit.
Wenn Sie sich Unterstützung auf Ihrem Weg wünschen, vereinbaren Sie gern eine kostenlose Erstberatung. Zusammen entwickeln wir die optimale Informationssicherheitsrisiko-Management-Lösung für Ihr Unternehmen.