activeMind AG - ISO 27001 - Risiko

Durch die Einführung der neuen deutschen Version DIN ISO/IEC 27001:2015 haben sich auch die Vorgaben für die Risikoanalyse im Rahmen der ISO 27001 verändert. Grund dafür ist der Verweis der Risikoanalyse auf die ISO/IEC 31000 Norm, welche Grundsätze und Richtlinien für ein funktionierendes Risikomanagement festlegt. Daher erfahren Sie in diesem Artikel alles Wichtige zu Planung und Durchführung der Risikoanalyse entsprechend des neuen Sicherheitsstandards.

Die Artikelserie zur DIN ISO/IEC 27001:2015

    Risikoeinschätzung in der DIN ISO/IEC 27001:2015

    Eine wesentliche Änderung der ISO 27001 ist, dass fortan eine Pflicht zur schriftlichen Dokumentation des Risikoeinschätzungsprozesses besteht. Im Rahmen dieses Prozesses müssen Methoden gefunden und dokumentiert werden, welche

    1. die Auswahl und Aufrechterhaltung von Kriterien zur Ermittlung und Bewertung von Risiken festlegen;
    2. die Auswahl und Aufrechterhaltung von Risikoakzeptanzkriterien definieren und
    3. die Durchführung der Informationssicherheitsrisikoeinschätzung regeln.

    Das bedeutet, dass künftig die Kriterien zur Risikoermittlung wesentlich liberaler gestaltet werden können, als nach den Vorgaben der alten Norm. Diese hatte noch eine verbindliche Methodik zur Identifizierung von Risiken à la „Werte-Bedrohung-Schwachstellen-Toleranzschwelle“ vorgeschrieben. Nun kann die Risikoermittlung wesentlich besser an die eigenen Wünsche und Bedürfnisse des Unternehmens angepasst werden, was den Charakter der ISO 27001 als universell einsetzbare Norm unterstreicht.

    Eine weitere Neuheit ist das Erfordernis der Ermittlung der jeweiligen Risk-Owner, also der Personen, die die Verantwortung für die jeweiligen Risiken tragen. Dies müssen nicht zwangsweise Angestellte sein. Unter Umständen können auch externe Dienstleister benannt werden, sofern diese ein eigenes Interesse an der Vermeidung des jeweiligen Risikos haben.

    Daneben können fortan auch Chancen in die Risikoanalyse mit einbezogen werden, eine Thematik, die wir in einem gesonderten Artikel zu den Chancen im ISMS-System dargelegt haben.

    Trotz der oben angesprochenen Liberalisierung muss durch den Prozess sichergestellt sein, dass bei wiederholter Durchführung der Informationssicherheitsrisikoeinschätzung konsistente Ergebnisse erzielt werden. Dies bedeutet, dass die ausgewählten Kriterien den Zielen des Unternehmens entsprechend angemessen gewichtet sein und eine sinnvolle, konsequente sowie logische Einschätzung der Risiken ermöglichen müssen. Zweck ist es, nur Faktoren in die Einschätzung aufzunehmen, welche auch ein realistisches Abbild der tatsächlich für das Unternehmen bestehenden Risiken ermöglichen.

    Risikobehandlung in der DIN ISO/IEC 27001:2015

    Ebenso wie die Risikoeinschätzung ist auch die Risikobehandlung in der in der DIN ISO/IEC 27001:2015 als Prozess ausgestaltet, der vollumfänglich dokumentiert sein muss. Der zu definierende Prozess unterscheidet sich jedoch nicht wesentlich von der bisher fest vorgeschriebenen Vorgehensweise im Rahmen der Risikobehandlung.

    Ein Unterschied besteht in der Anwendung entsprechender Maßnahmen zur Risikobehandlung. Bisher war die Vorgehensweise so, dass zuerst sämtliche geeigneten Maßnahmen des Anhang A ausgewählt werden mussten und sodann im Bedarfsfall ergänzend weitere individuelle Maßnahmen angewandt werden konnten.

    Nach den Vorstellungen der neuen Norm verhält es sich nun jedoch genau anders herum: Demnach werden zunächst individuelle Maßnahmen zur Behandlung der identifizierten Risiken festgelegt. Durch einen anschließenden Abgleich mit den Maßnahmen des Angang A wird sodann sichergestellt, dass keine erforderlichen Maßnahmen ausgelassen wurden. Nach der neuen Norm stellt der Anhang A deshalb eher ein Art Vollständigkeitscheckliste dar, wohingegen die ältere Version eine stärkere Bindung an die vorgefertigten Maßnahmen gebot. Die neue ISO 27001 Norm ist im Ergebnis also offener für individuelle Maßnahmen, sei es für selbst gestaltete oder auch für vorgefertigte aus anderen Quellen, beispielweise den Bausteinen des BSI aus dem Bereich IT-Grundschutz.

    Eine weitere Neuerung ist die Vorgabe, dass der zu erstellende Risikobehandlungsplan von den jeweiligen Risk-Ownern, also den Risikoverantwortlichen, genehmigt wird und diese mit der Akzeptanz möglicher verbleibender Restrisiken einverstanden sind. Bisher war es das Management, das für die Erteilung einer solchen Genehmigung zuständig war. Da die Risik-Owner wohl eine wesentlich größere fachliche Nähe zu den Risiken mitbringen, ist diese Kompetenzverlagerung sehr zu begrüßen.

    Fazit: Flexiblere Risikoanalyse kann Sicherheitsniveau verbessern

    Die Risikoanalyse wird entsprechend der neuen Norm DIN ISO/IEC 27001:2015 insgesamt etwas flexibler als in der Vorgängerversion, da dem Anwender mehr Freiheiten bei der Auswahl der Mittel belassen werden. Dies bedeutet jedoch keinesfalls die Absenkung des Sicherheitsstandards. Vielmehr wird dadurch eine stärkere Anpassung an das anwendende Unternehmen erreicht, wodurch bei entsprechender Umsetzung das Sicherheitsniveau sogar erhöht wird. Voraussetzung dafür sind jedoch die genaue Kenntnis und ein entsprechendes Verständnis der Sicherheitsmethodik der ISO Normen sowie Erfahrung in der praktischen Umsetzung.

    Bitte bewerten Sie diese Inhalte!
    [2 Bewertung(en)/ratings]