Direkt zum Hauptinhalt

JobRouter® GRC Portal

Risikomanagement nach ISO 27001 digital durchführen

Mit dem JobRouter® GRC Portal erkennen, bewerten und dokumentieren Unternehmen bedeutsame Risiken gemäß den Grundsätzen der Governance, Risk & Compliance. Die Lösung wurde speziell für digitales Informationssicherheits-Risikomanagement nach den Anforderungen von ISO 27001 entwickelt. In der Plattform können Sie Assets bewerten sowie Bedrohungen identifizieren, Risiken behandeln und durch andere prüfen lassen.

Auf dieser Seite erhalten Sie eine Übersicht über die einzelnen Schritte im Risikomanagement und wo Sie das JobRouter® GRC Portal bei Ihrer ISO-27001-Zertifizierung unterstützen kann.  

Infobox

Was ist die ISO 27001 und welche Rolle spielt Risikomanagement dabei?

Die ISO/IEC 27001 ist eine internationale Norm, die sich mit dem Management von Informationssicherheit beschäftigt. Durch die Zertifizierung nach ISO 27001 etablieren Unternehmen ein Informationssicherheits-Managementsystem und halten dieses aufrecht. Unternehmen müssen für die Zertifizierung …

  • einen umfassenden Informationssicherheitsprozess initiieren,
  • eine Informationssicherheits-Organisationsstruktur aufbauen,
  • Sicherheitsziele und Rahmenbedingungen definieren,
  • sowie eine Sammlung von Methoden, Vorgaben und Regeln zur Durchsetzung der Informationssicherheit festlegen (eine sogenannte ISMS-Dokumentation).

Risikomanagement ist dabei unerlässlich und bildet die Basis für die Sicherheit von Informationen jeglicher Art (analog, digital, wissensbasiert) in einem Unternehmen. Denn so werden Risiken identifiziert, bewertet und durch geeignete Gegenmaßnahmen verringert.

Alle Beteiligten profitieren

(Chief) Information Security Officer Verantwortliche Geschäftsführung
  • zentrales Dashboard mit Überblick über alle Risiken und Maßnahmen
  • enorme Zeitersparnis bei der Durchführung von Risikoanalysen
  • keine Arbeit in Excel-Dateien, sondern in einer modernen Webapplikation
  • automatische Protokollierung und Audit
  • Log für eine lückenlose Dokumentation
  • Export der Risiken inkl. hinterlegter Maßnahmen als Snapshot für Auditierung jederzeit möglich
  • Überblick über den Status der Bearbeitung in den Fachbereichen
  • sind deutlich schneller bei der Durchführung der Risikoanalysen
  • Protokollierung in Excel-Datei entfällt
  • profitieren von transparenten Prozessen mit zentralem Dashboard und Überblick über eigene Risiken 
  • Überblick über alle Risiken und Maßnahmen mit zentralem Dashboard

Schritte im Risikomanagement nach ISO 27001

Eine Risikoanalyse ist verpflichtend für die Zertifizierung nach ISO 27001. Sie besteht aus mehreren Schritten: der Assetbewertung, Risikobeurteilung und -behandlung. In der Regel ist der Asset Owner (Eigentümer:in von Werten) für die Risikoanalyse verantwortlich und führt diese durch. Unternehmen müssen regelmäßig – mindestens jährlich oder anlassbezogen – die einzelnen Schritte durchlaufen. Hierbei unterstützt das GRC-Portal. 

1. Schritt

Assetbewertung durchführen

Bei einer Risikoanalyse werden zunächst Assets – sogenannte Unternehmenswerte – des Unternehmens gesammelt. Assets sind zum Beispiel Geschäftsprozesse, Personen, Dokumente oder die IT-Infrastruktur. Verantwortliche im Unternehmen definieren, ermitteln sowie dokumentieren Bedrohungen und führen eine Schutzbedarfsanalyse durch. Der Schutzbedarf lässt sich anhand der Kriterien "Vertraulichkeit", "Integrität" und "Verfügbarkeit" ermitteln. Zusätzlich ist es möglich, die Assets hinsichtlich Ihrer Vertraulichkeitsstufe zu klassifizieren.

2. Schritt

Risikobeurteilung und -behandlung

In der Risikobeurteilung bewertet in der Regel der Asset Owner die gesammelten Assets, ohne dass er bereits vorhandene Maßnahmen einbezieht. Er ermittelt die Schwachstellen der einzelnen Risiken, die Schadenshöhe und hinterlegt die jeweilige Eintrittswahrscheinlichkeit.

Die Risikobehandlung ist dazu da, das Restrisiko zu analysieren. Damit dies möglich ist, hinterlegt der Asset Owner Maßnahmen zur Behandlung des Risikos. Anhand dessen und mithilfe der hinterlegten Eintrittswahrscheinlichkeit, Schadenshöhe sowie der Schutzbedarfsdaten wird das Restrisiko ermittelt. Das Risiko sinkt zum Beispiel, wenn eine Versicherung vorhanden ist, und Unternehmen das Risiko übertragen können.

3. Schritt

Risikoanalyse prüfen

Wenn alle Angaben des Assets Owners vorliegen, gibt es einen separaten Prüfungsschritt, den generell der Information Security Officer (ISO) bzw. Chief Information Security Officer (CISO) durchführt.

Das GRC-Portal in der Praxis

Mit dem Modul zur Risikoanalyse nach ISO 27001 führen Sie den kompletten Prozess digital innerhalb des JobRouter®-GRC-Portals durch. Ein Excel-Export der Risiken inklusive der festgelegten Maßnahmen kann der Information Security Officer (IS0) bzw. Chief Information Security Officer (CISO) jederzeit veranlassen. Bei einem Audit, der bei der ISO-Zertifizierung nach 27001 vorgeschrieben ist, kann die verantwortliche Person beispielsweise den IST-Zustand als Excel zur Verfügung stellen.

Durch eine intuitiv zu verwendende Oberfläche können Sie Ihr Risikomanagement ganz einfach digital steuern. Zudem profitieren Sie von einem automatischen Audit Log, das alle Tätigkeiten während der Risikoanalyse protokolliert.

Das GRC-Portal in der Praxis

Mit dem Modul zur Risikoanalyse nach ISO 27001 führen Sie den kompletten Prozess digital innerhalb des JobRouter®-GRC-Portals durch. Ein Excel-Export der Risiken inklusive der festgelegten Maßnahmen kann der Information Security Officer (IS0) bzw. Chief Information Security Officer (CISO) jederzeit veranlassen. Bei einem Audit, der bei der ISO-Zertifizierung nach 27001 vorgeschrieben ist, kann die verantwortliche Person beispielsweise den IST-Zustand als Excel zur Verfügung stellen.

Durch eine intuitiv zu verwendende Oberfläche können Sie Ihr Risikomanagement ganz einfach digital steuern. Zudem profitieren Sie von einem automatischen Audit Log, das alle Tätigkeiten während der Risikoanalyse protokolliert.

Mit der GRC-Lösung von JobRouter können wir unser Risikomanagement transparent abbilden und die Prozesse für unser Informationssicherheitsmanagementsystem nach ISO 27001 darstellen.

Carsten Jockel
Carsten Jockel
Geschäftsführer
Senpro IT GmbH

Schritt für Schritt durch die ISO-27001-Risikoanalyse

Pflege von Katalogdaten in der Oberfläche
Pflege von Katalogdaten in der Oberfläche

Katalogdaten pflegen

Damit Sie die Risikoanalyse strukturiert durchführen können, müssen Sie vorab verschiedene Kataloge für mögliche Bedrohungen, Maßnahmen oder Schwachstellen anlegen. Diese Kataloge können Sie einfach und bequem als digitale Listen pflegen. Sie profitieren auch hier von einer automatischen Protokollierung der Änderungen in den Katalogen. Außerdem ist ein Excel-Import und somit das Bereitstellen von vorhandenen Katalogen möglich.

Bewertung von Assets (sog. Unternehmenswerten) über die Weboberfläche

Assetbewertung durchführen

Über das Portal kann jeder Asset Owner bequem selbst seine Assets zu einem definierten Zeitpunkt bewerten – zum Beispiel jährlich oder anlassbezogen. Dadurch ist der Asset Owner in der Lage, Bedrohungen zuzuordnen und eine Schutzbedarfsanalyse durchzuführen.

Bewertung von Assets (sog. Unternehmenswerten) über die Weboberfläche
Die Risikobeurteilung wird durchgeführt
Die Risikobeurteilung wird durchgeführt

Risikobeurteilung durchführen

Der Asset Owner kann die Risikobeurteilung entweder selbst initiieren oder vom ISO bzw. CISO eingeladen werden. Ziel dieses Schrittes ist es, das Risiko für sämtliche Assets festzulegen. Hierbei findet keine Berücksichtigung von vorhandenen Maßnahmen statt. 

Die Risikobehandlung über das JobRouter® GRC Portal

Risikobehandlung vornehmen

Im nächsten Schritt erfolgt die Risikobehandlung, in der das Restrisiko bestimmt wird. Dazu hinterlegt der Asset Owner Maßnahmen zur Behandlung des Risikos. Das Risikomanagement-Tool ermittelt daraufhin automatisch das Restrisiko anhand der Angaben und der hinterlegten Eintrittswahrscheinlichkeit, Schadenshöhe sowie der Schutzbedarfsdaten. Der Workflow ist für Anwendende insbesondere durch die intuitiv zu bedienende Oberfläche sehr komfortabel.  

Die Risikobehandlung über das JobRouter® GRC Portal
Die Risiken lassen sich über das GRC-Portal prüfen und freigeben
Die Risiken lassen sich über das GRC-Portal prüfen und freigeben

Prüfung und Freigabe

Der ISO bzw. CISO kann durch das JobRouter® GRC Portal die Angaben des Asset Owners überprüfen und eine Freigabe durchführen.

Zentrales Dashboard

Überblick behalten mit dem Dashboard

Für ISO bzw CISO ist es wichtig, immer die Übersicht über identifizierte Risiken und Maßnahmen zu haben. Auch die Geschäftsführung möchte manchmal ein aktuelles Bild über die Risikolage im Unternehmen erhalten. Dies gelingt durch ein inkludiertes Dashboard in der Software. 

Zentrales Dashboard

Funktionsübersicht des Moduls

Funktion Beschreibung
Digitale Risikoanalyse (Assetbewertung, Risikobeurteilung und -behandlung) Prozess zur digitalen Durchführung der Risikoanalyse 
Dashboard Dashboard zur Darstellung der Risiken und Maßnahmen
Assets Pflege der Werte des Unternehmens über eine digitale Liste
Bedrohungskatalog Pflege des Bedrohungskatalogs für die Risikoanalyse in einer digitalen Liste
Schwachstellenkatalog Pflege des Schwachstellenkatalogs für die Risikoanalyse in einer digitalen Liste
Maßnahmenkatalog Pflege des Maßnahmenkatalogs für die Risikoanalyse in einer digitalen Liste
Standorte Pflege der Standorte

FAQ rund um Risikomanagement, ISO 27001 und ISMS

Wie hängen ISMS und Risikomanagement zusammen?

Ein Informationssicherheits-Managementsystem (ISMS) ist eine Sammlung von verschiedenen Richtlinien, Leitlinien und Verfahrensanweisungen, die dazu dienen, die Informationssicherheit in einem Unternehmen zu managen.

Hierzu existiert ein globaler Standard, die ISO 27001, die das Management von Informationssicherheit regelt. Ein großer Bestandteil des ISMS nach ISO 27001 ist das Informationsicherheits-Risikomanagement. Aber auch Themen wie Compliance für die Einhaltung von gesetzlichen und vertraglichen Anforderungen (z.B. Datenschutz) ist in der Norm geregelt.

Bei dem Management von Informationssicherheit ist es wichtig zu unterscheiden zwischen Informationssicherheit und IT-Sicherheit:

  • Informationssicherheit hat zum Ziel, Informationen jeglicher Art und Herkunft zu schützen (analoge, digitale und geistige Daten). Es bezeichnet einen Zustand, indem die Risiken durch angemessene Maßnahmen auf ein akzeptiertes Maß reduziert sind.
  • Hingegen IT-Sicherheit hat zum Ziel, elektronisch gespeicherte Informationen und deren Verarbeitung zu schützen (z.B. regelmäßige Datensicherungen).

Ein gut durchdachtes und regelmäßig überprüftes Risikomanagement ist bedeutend: Ohne kann ein ISMS nicht erfolgreich umgesetzt werden. 

Warum ist Risikomanagement für Informationssicherheit wichtig?

Ein gutes Risikomanagement ist entscheidend, um das Unternehmen vor Gefahren zu schützen. Eine Risikoanalyse kann potenzielle Bedrohungen identifizieren, die sonst übersehen werden könnten, und die Behandlung von Risiken kann dazu beitragen, dass diese Bedrohungen minimiert oder verhindert werden.

Darüber hinaus kann die Zertifizierung nach ISO 27001 dazu beitragen, das Vertrauen von Kunden, Lieferanten und anderen Geschäftspartnern zu gewinnen oder weiter zu stärken, da sie zeigt, dass das Unternehmen es mit der Informationssicherheit ernst meint und alles in seiner Macht Stehende tut, um seine Assets zu schützen (z.B. Dokumente, IT-Infrastruktur, Hardware, Software, Personen, ausgelagerte Dienste.

Welche Vorteile hat eine ISO-27001-Risikoanalyse?

Eine ISO-27001-Risikoanalyse hilft Ihnen, Ihre Informationssicherheit zu verbessern, Ihre Organisation vor Bedrohungen und Schwächen zu schützen und Ihre Geschäftspraktiken gemäß international anerkannten Standards zu verwalten. Dadurch werden sowohl Ihr Qualitätsmanagement als auch Ihre Informationssicherheit kontinuierlich verbessert und auf die nächste Qualitätsstufe gehoben.

Was ist ein Beispiel für eine Risikoanalyse nach ISO 27001?

Ein Beispiel für eine Risikoanalyse nach ISO 27001 können Sie auf dieser Seite unter „Schritte der ISO-27001-Risikoanalyse“ finden. Auf Basis der JobRouter®-Digitalisierungsplattform werden Sie durch einzelne Schritte der Risikoanalyse geführt, die Unternehmen für die ISO-27001-Zertifizierung beachten sollten.

nach oben