JobRouter® GRC Portal
Risikomanagement nach ISO 27001 digital durchführen
Mit dem JobRouter® GRC Portal erkennen, bewerten und dokumentieren Unternehmen bedeutsame Risiken gemäß den Grundsätzen der Governance, Risk & Compliance. Die Lösung wurde speziell für digitales Informationssicherheits-Risikomanagement nach den Anforderungen von ISO 27001 entwickelt. In der Plattform können Sie Assets bewerten sowie Bedrohungen identifizieren, Risiken behandeln und durch andere prüfen lassen.
Auf dieser Seite erhalten Sie eine Übersicht über die einzelnen Schritte im Risikomanagement und wo Sie das JobRouter® GRC Portal bei Ihrer ISO-27001-Zertifizierung unterstützen kann.
Infobox
Was ist die ISO 27001 und welche Rolle spielt Risikomanagement dabei?
Die ISO/IEC 27001 ist eine internationale Norm, die sich mit dem Management von Informationssicherheit beschäftigt. Durch die Zertifizierung nach ISO 27001 etablieren Unternehmen ein Informationssicherheits-Managementsystem und halten dieses aufrecht. Unternehmen müssen für die Zertifizierung …
- einen umfassenden Informationssicherheitsprozess initiieren,
- eine Informationssicherheits-Organisationsstruktur aufbauen,
- Sicherheitsziele und Rahmenbedingungen definieren,
- sowie eine Sammlung von Methoden, Vorgaben und Regeln zur Durchsetzung der Informationssicherheit festlegen (eine sogenannte ISMS-Dokumentation).
Risikomanagement ist dabei unerlässlich und bildet die Basis für die Sicherheit von Informationen jeglicher Art (analog, digital, wissensbasiert) in einem Unternehmen. Denn so werden Risiken identifiziert, bewertet und durch geeignete Gegenmaßnahmen verringert.
Alle Beteiligten profitieren
(Chief) Information Security Officer | Verantwortliche | Geschäftsführung |
---|---|---|
|
|
|
Schritte im Risikomanagement nach ISO 27001
Eine Risikoanalyse ist verpflichtend für die Zertifizierung nach ISO 27001. Sie besteht aus mehreren Schritten: der Assetbewertung, Risikobeurteilung und -behandlung. In der Regel ist der Asset Owner (Eigentümer:in von Werten) für die Risikoanalyse verantwortlich und führt diese durch. Unternehmen müssen regelmäßig – mindestens jährlich oder anlassbezogen – die einzelnen Schritte durchlaufen. Hierbei unterstützt das GRC-Portal.
+Webinar-Aufzeichnung
So setzen Sie Risikomanagement nach ISO 27001 digital um
1. Schritt
Assetbewertung durchführen
Bei einer Risikoanalyse werden zunächst Assets – sogenannte Unternehmenswerte – des Unternehmens gesammelt. Assets sind zum Beispiel Geschäftsprozesse, Personen, Dokumente oder die IT-Infrastruktur. Verantwortliche im Unternehmen definieren, ermitteln sowie dokumentieren Bedrohungen und führen eine Schutzbedarfsanalyse durch. Der Schutzbedarf lässt sich anhand der Kriterien "Vertraulichkeit", "Integrität" und "Verfügbarkeit" ermitteln. Zusätzlich ist es möglich, die Assets hinsichtlich Ihrer Vertraulichkeitsstufe zu klassifizieren.
2. Schritt
Risikobeurteilung und -behandlung
In der Risikobeurteilung bewertet in der Regel der Asset Owner die gesammelten Assets, ohne dass er bereits vorhandene Maßnahmen einbezieht. Er ermittelt die Schwachstellen der einzelnen Risiken, die Schadenshöhe und hinterlegt die jeweilige Eintrittswahrscheinlichkeit.
Die Risikobehandlung ist dazu da, das Restrisiko zu analysieren. Damit dies möglich ist, hinterlegt der Asset Owner Maßnahmen zur Behandlung des Risikos. Anhand dessen und mithilfe der hinterlegten Eintrittswahrscheinlichkeit, Schadenshöhe sowie der Schutzbedarfsdaten wird das Restrisiko ermittelt. Das Risiko sinkt zum Beispiel, wenn eine Versicherung vorhanden ist, und Unternehmen das Risiko übertragen können.
3. Schritt
Risikoanalyse prüfen
Wenn alle Angaben des Assets Owners vorliegen, gibt es einen separaten Prüfungsschritt, den generell der Information Security Officer (ISO) bzw. Chief Information Security Officer (CISO) durchführt.
Das GRC-Portal in der Praxis
Mit dem Modul zur Risikoanalyse nach ISO 27001 führen Sie den kompletten Prozess digital innerhalb des JobRouter®-GRC-Portals durch. Ein Excel-Export der Risiken inklusive der festgelegten Maßnahmen kann der Information Security Officer (IS0) bzw. Chief Information Security Officer (CISO) jederzeit veranlassen. Bei einem Audit, der bei der ISO-Zertifizierung nach 27001 vorgeschrieben ist, kann die verantwortliche Person beispielsweise den IST-Zustand als Excel zur Verfügung stellen.
Durch eine intuitiv zu verwendende Oberfläche können Sie Ihr Risikomanagement ganz einfach digital steuern. Zudem profitieren Sie von einem automatischen Audit Log, das alle Tätigkeiten während der Risikoanalyse protokolliert.
Das GRC-Portal in der Praxis
Mit dem Modul zur Risikoanalyse nach ISO 27001 führen Sie den kompletten Prozess digital innerhalb des JobRouter®-GRC-Portals durch. Ein Excel-Export der Risiken inklusive der festgelegten Maßnahmen kann der Information Security Officer (IS0) bzw. Chief Information Security Officer (CISO) jederzeit veranlassen. Bei einem Audit, der bei der ISO-Zertifizierung nach 27001 vorgeschrieben ist, kann die verantwortliche Person beispielsweise den IST-Zustand als Excel zur Verfügung stellen.
Durch eine intuitiv zu verwendende Oberfläche können Sie Ihr Risikomanagement ganz einfach digital steuern. Zudem profitieren Sie von einem automatischen Audit Log, das alle Tätigkeiten während der Risikoanalyse protokolliert.
Schritt für Schritt durch die ISO-27001-Risikoanalyse
Katalogdaten pflegen
Damit Sie die Risikoanalyse strukturiert durchführen können, müssen Sie vorab verschiedene Kataloge für mögliche Bedrohungen, Maßnahmen oder Schwachstellen anlegen. Diese Kataloge können Sie einfach und bequem als digitale Listen pflegen. Sie profitieren auch hier von einer automatischen Protokollierung der Änderungen in den Katalogen. Außerdem ist ein Excel-Import und somit das Bereitstellen von vorhandenen Katalogen möglich.
Assetbewertung durchführen
Über das Portal kann jeder Asset Owner bequem selbst seine Assets zu einem definierten Zeitpunkt bewerten – zum Beispiel jährlich oder anlassbezogen. Dadurch ist der Asset Owner in der Lage, Bedrohungen zuzuordnen und eine Schutzbedarfsanalyse durchzuführen.
Risikobeurteilung durchführen
Der Asset Owner kann die Risikobeurteilung entweder selbst initiieren oder vom ISO bzw. CISO eingeladen werden. Ziel dieses Schrittes ist es, das Risiko für sämtliche Assets festzulegen. Hierbei findet keine Berücksichtigung von vorhandenen Maßnahmen statt.
Risikobehandlung vornehmen
Im nächsten Schritt erfolgt die Risikobehandlung, in der das Restrisiko bestimmt wird. Dazu hinterlegt der Asset Owner Maßnahmen zur Behandlung des Risikos. Das Risikomanagement-Tool ermittelt daraufhin automatisch das Restrisiko anhand der Angaben und der hinterlegten Eintrittswahrscheinlichkeit, Schadenshöhe sowie der Schutzbedarfsdaten. Der Workflow ist für Anwendende insbesondere durch die intuitiv zu bedienende Oberfläche sehr komfortabel.
Prüfung und Freigabe
Der ISO bzw. CISO kann durch das JobRouter® GRC Portal die Angaben des Asset Owners überprüfen und eine Freigabe durchführen.
Überblick behalten mit dem Dashboard
Für ISO bzw CISO ist es wichtig, immer die Übersicht über identifizierte Risiken und Maßnahmen zu haben. Auch die Geschäftsführung möchte manchmal ein aktuelles Bild über die Risikolage im Unternehmen erhalten. Dies gelingt durch ein inkludiertes Dashboard in der Software.
Funktionsübersicht des Moduls
Funktion | Beschreibung |
---|---|
Digitale Risikoanalyse (Assetbewertung, Risikobeurteilung und -behandlung) | Prozess zur digitalen Durchführung der Risikoanalyse |
Dashboard | Dashboard zur Darstellung der Risiken und Maßnahmen |
Assets | Pflege der Werte des Unternehmens über eine digitale Liste |
Bedrohungskatalog | Pflege des Bedrohungskatalogs für die Risikoanalyse in einer digitalen Liste |
Schwachstellenkatalog | Pflege des Schwachstellenkatalogs für die Risikoanalyse in einer digitalen Liste |
Maßnahmenkatalog | Pflege des Maßnahmenkatalogs für die Risikoanalyse in einer digitalen Liste |
Standorte | Pflege der Standorte |
FAQ rund um Risikomanagement, ISO 27001 und ISMS
Wie hängen ISMS und Risikomanagement zusammen?
Ein Informationssicherheits-Managementsystem (ISMS) ist eine Sammlung von verschiedenen Richtlinien, Leitlinien und Verfahrensanweisungen, die dazu dienen, die Informationssicherheit in einem Unternehmen zu managen.
Hierzu existiert ein globaler Standard, die ISO 27001, die das Management von Informationssicherheit regelt. Ein großer Bestandteil des ISMS nach ISO 27001 ist das Informationsicherheits-Risikomanagement. Aber auch Themen wie Compliance für die Einhaltung von gesetzlichen und vertraglichen Anforderungen (z.B. Datenschutz) ist in der Norm geregelt.
Bei dem Management von Informationssicherheit ist es wichtig zu unterscheiden zwischen Informationssicherheit und IT-Sicherheit:
- Informationssicherheit hat zum Ziel, Informationen jeglicher Art und Herkunft zu schützen (analoge, digitale und geistige Daten). Es bezeichnet einen Zustand, indem die Risiken durch angemessene Maßnahmen auf ein akzeptiertes Maß reduziert sind.
- Hingegen IT-Sicherheit hat zum Ziel, elektronisch gespeicherte Informationen und deren Verarbeitung zu schützen (z.B. regelmäßige Datensicherungen).
Ein gut durchdachtes und regelmäßig überprüftes Risikomanagement ist bedeutend: Ohne kann ein ISMS nicht erfolgreich umgesetzt werden.
Warum ist Risikomanagement für Informationssicherheit wichtig?
Ein gutes Risikomanagement ist entscheidend, um das Unternehmen vor Gefahren zu schützen. Eine Risikoanalyse kann potenzielle Bedrohungen identifizieren, die sonst übersehen werden könnten, und die Behandlung von Risiken kann dazu beitragen, dass diese Bedrohungen minimiert oder verhindert werden.
Darüber hinaus kann die Zertifizierung nach ISO 27001 dazu beitragen, das Vertrauen von Kunden, Lieferanten und anderen Geschäftspartnern zu gewinnen oder weiter zu stärken, da sie zeigt, dass das Unternehmen es mit der Informationssicherheit ernst meint und alles in seiner Macht Stehende tut, um seine Assets zu schützen (z.B. Dokumente, IT-Infrastruktur, Hardware, Software, Personen, ausgelagerte Dienste.
Welche Vorteile hat eine ISO-27001-Risikoanalyse?
Eine ISO-27001-Risikoanalyse hilft Ihnen, Ihre Informationssicherheit zu verbessern, Ihre Organisation vor Bedrohungen und Schwächen zu schützen und Ihre Geschäftspraktiken gemäß international anerkannten Standards zu verwalten. Dadurch werden sowohl Ihr Qualitätsmanagement als auch Ihre Informationssicherheit kontinuierlich verbessert und auf die nächste Qualitätsstufe gehoben.
Was ist ein Beispiel für eine Risikoanalyse nach ISO 27001?
Ein Beispiel für eine Risikoanalyse nach ISO 27001 können Sie auf dieser Seite unter „Schritte der ISO-27001-Risikoanalyse“ finden. Auf Basis der JobRouter®-Digitalisierungsplattform werden Sie durch einzelne Schritte der Risikoanalyse geführt, die Unternehmen für die ISO-27001-Zertifizierung beachten sollten.