Mittwoch, 26. April 2017

IT-Risikomanagement

Mit dem IT-Risikomanagement soll ein strukturierter Umgang mit identifizierte Risiken geschehen. Der Risikomanagementprozess umfasst darüber hinaus die Bewertung und die Behandlung der Risiken. Generell setzt sich ein Risiko aus der Eintrittswahrscheinlichkeit und dem Schadenspotential zusammen. Methoden um ein Risiko zu analysieren sind qualitative Einstufungen vs. quantitative Einstufungen.

Risikomanagementprozess nach ISO 27005

Nachfolgend der Risikomanagementprozess nach ISO 27005


Festlegung der Rahmenbedingungen

In der ersten Phase wird die IT-Risikomanagementmethodik festgelegt. Außerdem werden Risiko-Evaluierungskriterien entwickelt und potentielle Auswirkungen (z.B. finanzieller Art oder juristische Sanktionen) festgelegt.


Risikoidentifizierung

Bei der Risikoidentifizierung geht es darum Szenarien zu finde, die der Organisation Schaden zufügen könnten. Man geht dabei folgende Idenfizierungsschritte durch:
  1. Identifizierung von Assets
  2. Identifizierung von Bedrohungen
  3. Identifizierung von umgesetzte Maßnahmen
  4. Identifizierung von Schwachstellen
  5. Identifizierung von potentiellen Auswirkungen


Risikoanalyse

Bei der Risikoanalyse geht es um die Bestimmung des Schadenspotentials und der Eintrittswahrscheinlichkeit. Es sind sowohl qualitative als auch quantitative Bewertungen möglich. Während bei einer quantitativen Bewertung konkrete Werte, z.B. für die Eintrittswahrscheinlich, angegeben werden, folgt bei der qualitativen Bewertung eine grobe Einteilung in Stufen. Da es in der Regel nicht möglich ist, ganz genaue Werte herauszufinden und zu bestimmen, wird oft zur qualitativen Bewertung gegriffen und nur in sehr seltenen Fällen, z.B. bei besonderen Risiken, zur quantitativen Bewertung.


Risikobewertung

In diesem Schritt folgt die Priorisierung der Risiken. Abgeschätzt können Risiken durch die folgenden Methodengruppen:
  • Nachschlagemethoden (z.B. Checklisten)
  • Unterstützende Methoden (z.B. Delphi-Methode)
  • Szenarioanalyse (z.B. Ereignisbaumanalyse
  • Maßnahmenanalyse (z.B. Bow-Tie)
  • Funktionsanalyse (z.B. FMEA)
Die Einordnung der Risiken kann anschließend entweder mit dem Maximumsprinzip, Kumulationsprinzip oder Verteilungsprinzip vorgenommen werden.


Risikobehandlung

Bei der Risikobehandlung stehen folgende Möglichkeiten bereit:
  • Risiko akzeptieren
  • Risiko reduzieren
  • Risiko vermeiden
  • Risiko an einen Dritten (z.B. Versicherung) abtreten


Quellen und Verweise

Eingestellt von um
Labels:

Keine Kommentare:

Kommentar veröffentlichen

Abonnieren Kommentare zum Post (Atom)