TISAX® Kapitel 1.4.1
Inwieweit werden Informationssicherheitsrisiken gemanagt?
Erschlagen von den Anforderungen? Sie wissen nicht, wie ausführlich Sie bestimmte Anforderungen erfüllen müssen?
Testen Sie jetzt kostenlos & unverbindlich unser TISAX®-Vorlagenpaket.
Ziel
Ziel des Informationssicherheits-Risikomanagements ist das rechtzeitige Erkennen, Bewerten und Behandeln von Risiken zur Erreichung der Schutzziele der Informationssicherheit. Es befähigt damit die Organisation, angemessene Maßnahmen zum Schutz ihrer Informationswerte unter Abwägung der damit verbundenen Chancen und Risiken zu etablieren. Es wird empfohlen, das Informationssicherheits-Risikomanagement einer Organisation so einfach wie möglich zu gestalten, um es effektiv und effizient betreiben zu können.
Anforderungen
- Muss
- Risikobewertungen werden sowohl in regelmäßigen Abständen als auch als Reaktion auf Ereignisse durchgeführt.
- Muss
- Informationssicherheitsrisiken werden angemessen (z.B. hinsichtlich Eintrittswahrscheinlichkeit und potenziellem Schaden) bewertet.
- Muss
- Informationssicherheitsrisiken sind dokumentiert.
- Muss
- Jedem Informationssicherheitsrisiko ist ein Verantwortlicher (Risikoeigner) zugeordnet. Dieser ist für die Bewertung und Behandlung der Informationssicherheitsrisiken verantwortlich.
- Sollte
- Es ist ein Verfahren vorhanden, das festlegt, wie Sicherheitsrisiken innerhalb der Organisation zu identifizieren, bewerten und behandeln sind.
- Sollte
- Kriterien für die Bewertung und Behandlung von Sicherheitsrisiken sind vorhanden.
- Sollte
- Maßnahmen für den Umgang mit Sicherheitsrisiken und die dafür Verantwortlichen sind festgelegt und dokumentiert:
- Sollte
- Es wird nach einem Maßnahmenplan oder einer Übersicht über den Umsetzungsstatus der Maßnahmen vorgegangen.
- Sollte
- Bei Änderungen des Umfelds (z.B. Organisationsstruktur, Standort, Änderungen von Regelwerken) erfolgt eine rechtzeitige Neubewertung.
Umsetzung
Maßnahmen zum Umgang mit Risiken und Chancen
Im Rahmen der Planung des Informationssicherheitsmanagementsystems (ISMS) muss die Organisation eine sorgfältige Analyse der wichtigen Themen und Anforderungen durchführen. Dabei sind die Risiken und Chancen zu identifizieren, die berücksichtigt werden müssen, um:
- Die Integrität des ISMS zu gewährleisten und die beabsichtigten Ergebnisse zu erzielen
- Mögliche negative Auswirkungen zu verhindern oder zu minimieren
- Eine kontinuierliche Verbesserung des Systems zu fördern
Die Organisation sollte deshalb strategisch planen wie sie die Entwicklung und Implementierung von Maßnahmen umsetzt, um die identifizierten Risiken und Chancen effektiv zu bewältigen. Sie sollte außerdem planen, wie sie die Integration dieser Maßnahmen in die ISMS-Prozesse der Organisation einbringt und die Wirksamkeit dieser Maßnahmen bewertet, um sicherzustellen, dass sie die gewünschten Ergebnisse erzielen.
Informationssicherheits-Risikobeurteilung
Die Organisation muss einen robusten Prozess zur Informationssicherheitsrisikobeurteilung etablieren und umsetzen, der klare und konsistente Informationssicherheitsrisikokriterien definiert und aufrechterhält. Dazu gehören:
- Der Kriterien für die Akzeptanz von Risiken
- Der Kriterien für die Durchführung von Informationssicherheitsrisikobeurteilungen
Der Prozess sollte außerdem die Durchführung wiederholter Informationssicherheitsrisikobeurteilungen sicherstellen, um konsistente, gültige und vergleichbare Ergebnisse zu erzielen.
Außerdem sollte er die Informationssicherheitsrisiken identifizieren, indem er:
- Der Prozess zur Informationssicherheitsrisikobeurteilung angewendet wird, um Risiken im Zusammenhang mit dem Verlust von Vertraulichkeit, Integrität und Verfügbarkeit von Informationen zu ermitteln
- Die Eigentümer der Risiken klar identifiziert
Um die Informationssicherheitsrisiken zu analysieren, sollte er:
- Die möglichen Folgen der identifizierten Risiken abschätzen
- Die realistischen Eintrittswahrscheinlichkeiten dieser Risiken bewerten
- Die Risikoniveaus bestimmen
Der Prozess sollte außerdem die Informationssicherheitsrisiken bewerten, indem:
- Die Ergebnisse der Risikoanalyse mit den festgelegten Risikokriterien abgeglichen werden
- Die analysierten Risiken entsprechend ihrer Bedeutung für die Risikobehandlung priorisiert werden