ISO/IEC 27005

Was beinhaltet der Standard lSO/lEC 27005?

Durch diesen Standard werden Leitlinien angeführt, wie man mit Risiken im IT-Risikomanagement systematisch und prozessorientiert umgeht. In der ISO/IEC 27005 wird genau dargestellt, wie der Prozess zur Bedrohungs- und Schadensregulierung durchgeführt werden sollte, mit dem Ziel eine Liste zur erstellen, die Risiken priorisiert und zur kontinuierlichen Verfolgung beiträgt. Begonnen wird mit der Definition der Rahmenbedingungen. Dafür gilt es festzustellen, welche Kriterien bewertet werden sollen, damit die Risikoakzeptanz und die entsprechende Organisation zur Bearbeitung des Risikos etabliert werden kann. Darauf folgt die Identifizierung von Risiken. Dabei müssen die Unternehmenswerte erfasst werden, die mit dem entsprechenden Bereich in Verbindung gebracht werden. Dadurch kann man die Bedrohungen und die Schwachstellen des Unternehmens ermitteln, sowie die geplanten Sicherheitsmaßnahmen identifizieren. Bei der Abschätzungsphase erfolgt, durch quantitative oder qualitative Methoden, die Bewertung der Risiken anhand von deren Kritikalität, Ausmaß oder Auswirkungen. Hier sind die Schadenausmaße und die Eintrittswahrscheinlichkeiten der verschiedenen Risiken zu kombinieren, um ein Risikoniveau zu erstellen. Mit der Auswertung von Risiken wird versucht, diese zu priorisieren, z.B. je nach Unternehmenswerte oder die Geschäftsprozesse, die diese beeinflussen können. In dem nächsten Abschnitt soll entschieden werden, wie ein festgelegtes Risiko behandelt wird. Je nach dem lassen sich Risiken durch Maßnahmen reduzieren bzw. vermeiden, durch Akzeptanz unbehandelt bleiben oder mit der Übernahme von Versicherungen oder Verträgen an Dritte übertragen. Mit der Risikoakzeptanz sind Handlungsempfehlungen zu ermitteln, die auf jedes Risiko gezielt angewandt werden und die entsprechende Organisation bei der Entscheidung von Risikoübernahmen als Hilfe/Unterstützung dienen sollen. Die Risikokommunikation mit den Stakeholdern sollte möglichst klar verständlich sein, um einen Sicherheitsvorfall vorzubeugen. Es ist dabei auf das menschliche Verständnis zu achten, damit die Wichtigkeit von allen Betroffenen gleichermaßen eingestuft wird.

Wie ist er eingebettet in andere Standards des Risikomanagements? Die ISO/IEC 27005 ist ein Bereich des zweiten Teils von insgesamt 5 Teilen der ISO/IEC 13335. In allen Teilen handelt es sich ebenfalls um das Management in der Informationssicherheit. Wie bereits oben beschrieben, wird dabei der komplette Prozess des Informationssicherheitsrisikomanagements dargestellt.

Foto: gemeinfrei, in: https://www.security-insider.de/was-ist-ein-trojanisches-pferd-a-818987/, zuletzt abgerufen am: 14.06.2022