ISO 27001 ist ein internationaler Standard, der die Anforderungen an ein Informationssicherheits-Managementsystem (ISMS) festlegt. Ein ISMS besteht aus einer Reihe von Richtlinien, Verfahren und Kontrollen, die entwickelt wurden, um die Informationswerte einer Organisation zu schützen.
Klausel 6.1 der ISO 27001 trägt den Titel "Maßnahmen zur Bewältigung von Risiken und Chancen". Diese Klausel verlangt von Organisationen, zu planen, wie sie Risiken und Chancen in Bezug auf ihre Informationssicherheit erkennen, bewerten und behandeln werden.
ISO 27001:2022 Abschnitt 6.1.1 Planung Allgemeines
Bei der Planung des Informationssicherheits-Managementsystems muss die Organisation die in 4.1 genannten Anliegen und die in 4.2 genannten Anforderungen berücksichtigen und die Risiken und Chancen ermitteln, die behandelt werden müssen, um:
- sicherzustellen, dass das Informationssicherheits-Managementsystem seine beabsichtigten Ergebnisse erreichen kann;
- unerwünschte Auswirkungen zu verhindern oder zu reduzieren;
- kontinuierliche Verbesserung zu erreichen.
Die Organisation muss planen:
- Maßnahmen zur Bewältigung dieser Risiken und Chancen; und
- wie sie diese Maßnahmen in ihre Prozesse des Informationssicherheits-Managementsystems integrieren und umsetzen kann, und die Wirksamkeit dieser Maßnahmen bewertet.
Wie lautet der Abschnitt 6.1 der ISO 27001?
Die Klausel 6.1 der ISO 27001 ist eine der wichtigsten Klauseln in diesem Standard. Sie dreht sich um die Bewertung von Risiken und verlangt von Organisationen, folgende Schritte durchzuführen:
- Die Risiken und Chancen in Bezug auf ihre Informationssicherheit identifizieren.
- Die Wahrscheinlichkeit und Auswirkungen dieser Risiken und Chancen bewerten.
- Die Risiken und Chancen in angemessener Weise behandeln, die dem Risiko angemessen ist.
- Die Effektivität ihrer Risikomanagementprozesse überwachen und überprüfen.
Weitere Informationen finden Sie unter Durchführung einer ISO 27001-Risikobewertung in 7 Schritten.
Was deckt ISO 27001 Klusel 6.1 ab?
ISO 27001 Klausel 6.1 behandelt folgende Themen:
Die Notwendigkeit, die Identifikation, Bewertung und Behandlung von Risiken und Chancen in Bezug auf die Informationssicherheit zu planen.
Die Notwendigkeit, den Kontext der Organisation und die Bedürfnisse und Erwartungen der interessierten Parteien bei der Planung des Risikomanagements zu berücksichtigen.
Die Notwendigkeit, einen Risikomanagementprozess einzurichten und aufrechtzuerhalten, der zur Größe, Komplexität und Art der Aktivitäten der Organisation passt.
Die Notwendigkeit, den Risikomanagementprozess und die Ergebnisse der Risikobewertungen zu dokumentieren.
Die Notwendigkeit, den Risikomanagementprozess in regelmäßigen Abständen zu überprüfen und zu aktualisieren.