ISMS Copilot
ISO 27001 Glossar

Was ist die Risikobehandlung in ISO 27001?

Übersicht

Die Risikobehandlung ist der Prozess der Auswahl und Implementierung von Optionen zur Bewältigung von Informationssicherheitsrisiken, die während der Risikobewertung identifiziert wurden. Es handelt sich um eine obligatorische Anforderung in ISO 27001:2022 (Klausel 6.1.3 und Klausel 8.3), die die Brücke zwischen der Risikobewertung und der praktischen Umsetzung von Sicherheitsmaßnahmen schlägt.

Die Risikobehandlung wandelt die Ergebnisse Ihrer Risikobewertung durch vier standardisierte Ansätze in umsetzbare Entscheidungen darüber um, wie mit jedem identifizierten Risiko verfahren werden soll.

Risikobehandlung in der Praxis

Nach Abschluss einer Risikobewertung müssen Sie entscheiden, wie Sie jedes Risiko basierend auf dem Risikoappetit und den Ressourcen Ihrer Organisation angehen. ISO 27001:2022 verlangt von Ihnen:

  • Auswahl geeigneter Optionen zur Risikobehandlung für jedes identifizierte Risiko

  • Bestimmung der erforderlichen Sicherheitsmaßnahmen zur Implementierung der gewählten Optionen (typischerweise aus Anhang A)

  • Abgleich der ausgewählten Maßnahmen mit Anhang A und Begründung etwaiger Ausschlüsse

  • Dokumentation der Entscheidungen in einem Risikobehandlungsplan

  • Einholung der Genehmigung von Risikoverantwortlichen

Die Risikobehandlung muss in Ihrer Anwendbarkeitserklärung (Statement of Applicability, SoA) dokumentiert werden, aus der hervorgeht, welche Maßnahmen aus Anhang A Sie ausgewählt haben und warum.

Die vier Optionen der Risikobehandlung

ISO 27001:2022 bietet vier standardisierte Ansätze für den Umgang mit Risiken:

1. Risikomodifikation (Minderung)

Anwendung von Sicherheitsmaßnahmen, um das Risiko auf ein akzeptables Maß zu reduzieren. Dies ist der am häufigsten gewählte Ansatz und beinhaltet die Implementierung der Maßnahmen aus Anhang A.

Beispiel: Implementierung von Zugriffskontrollen (A.5.15) und Verschlüsselung (A.8.24), um das Risiko eines unbefugten Datenzugriffs zu verringern.

2. Risikovermeidung

Eliminierung des Risikos durch Einstellung der Aktivität, die es verursacht.

Beispiel: Einstellung der Nutzung eines anfälligen Altsystems durch Migration auf eine sichere Cloud-Plattform.

3. Risikoteilung (Transfer)

Teilung des Risikos mit einer anderen Partei, in der Regel durch Versicherungen oder Outsourcing-Verträge.

Beispiel: Abschluss einer Cyberversicherung oder Nutzung eines Managed Security Service Providers für die Bedrohungsüberwachung.

4. Risikobeibehaltung (Akzeptanz)

Akzeptanz des Risikos, wenn es innerhalb Ihrer Risikoakzeptanzkriterien liegt und die Behandlungskosten die potenziellen Auswirkungen übersteigen.

Beispiel: Akzeptanz des geringen Risikos eines physischen Diebstahls in einem gesicherten Bürogebäude mit bestehenden Sicherheitsvorkehrungen.

Die Risikoakzeptanz erfordert eine dokumentierte Genehmigung durch die Risikoverantwortlichen und muss mit den in Klausel 6.1.2 definierten Risikoakzeptanzkriterien Ihrer Organisation übereinstimmen.

Risikobehandlungsplan

Ihr Risikobehandlungsplan ist ein erforderliches Dokument (Klausel 6.1.3), das Folgendes festlegt:

  • Die gewählten Optionen zur Risikobehandlung für jedes Risiko

  • Welche Maßnahmen implementiert werden und warum

  • Zuständigkeiten für die Umsetzung und Zeitpläne

  • Ressourcenanforderungen

  • Wie die Wirksamkeit gemessen wird

Verbindung zu den Maßnahmen in Anhang A

Die Risikobehandlung bestimmt direkt, welche der 93 Maßnahmen aus Anhang A Sie implementieren. Ihre SoA muss Folgendes aufzeigen:

  • Auf Basis von Risikobehandlungsentscheidungen ausgewählte Maßnahmen

  • Bereits implementierte Maßnahmen

  • Begründung für den Ausschluss jeglicher Maßnahmen aus Anhang A

Nutzen Sie den ISMS-Copilot, um Optionen zur Risikobehandlung für spezifische Szenarien zu generieren oder erstellen Sie einen maßgeschneiderten Risikobehandlungsplan basierend auf Ihren Bewertungsergebnissen.

Zugehörige Begriffe

War das hilfreich?