Etablierung eines Risikomanagements für Informationssicherheit
Assets und Risiken identifizieren, Maßnahmen ableiten und umsetzen.
Mit mehr als 10 Jahren Erfahrung ...
... unterstützen wir Sie bei:
- Design und Implementierung einer wirksamen Methodik im Umgang mit Informationssicherheitsrisiken.
- Durchführung und Moderation von Workshops zur Identifizierung und Bewertung der relevanten Risiken.
- Definition und Identifikation angemessener Maßnahmen.
- Wahlweise auch Beratung und Unterstützung bei der Auswahl eines für Sie geeigneten Risikomanagement- bzw. GRC-Tools (= Governance-, Risk- and Compliance).
Die Schritte zu Ihrem InfoSec-Risikomanagement
Risikomanagementprozess und -Governance
Bevor wir mit dem Erfassen Ihrer Risiken starten, definieren wir zuvor die notwendigen Rahmenbedingungen. Dazu zählen:
- Definition des Risikoappetits, sowie der genauen Risikomethodik (Schutzbedarfs- bzw. Risikostufen, zu beachtende Aspekte bei der Risikobetrachtung, ...).
- Definition und Zuordnung der Verantwortung für die (regelmäßige) Durchführung des Risikomanagementprozesses.
- Definition und Zuordnung der Verantwortung für (Rest-)Risiken.
- Festlegung der Rahmenbedingungen für die Akzeptanz von Risiken.
- Etablierung erforderlicher Kommunikationskanäle und Schnittstellen (z. B. in das unternehmensweite Risikomanagement bzw. zu anderen Risikomanagement-Systemen).
Risikomanagementprozess und -Governance
"Schaffen der Rahmenbedingungen"Schutzbedarfsfeststellung
Bei der Schutzbedarfsfeststellung erfassen wir alle "primaren Assets" (= Prozesse und Informationen) im Geltungsbereich des ISMS und bewerten diese nach den Schutzbedarfen
- Verfügbarkeit,
- Vertraulichkeit und
- Integrität.
Ausgehend von den primären Assets identifizieren wir die erforderlichen Ressourcen (= Anwendungen, Systeme, Netzwerke, Personen, Gebäude / Räume bzw. weitere Informationstragende), die zum Betrieb der Prozesse bzw. zur Verarbeitung der Informationen erforderlich sind und bewerten auch deren Schutzbedarf.
Schutzbedarfsfeststellung
"Assets identifizieren"Detaillierte Risikobetrachtung
Für kritische Assets wird eine detaillierte Risikobetrachtung durchführt. Diese umfasst eine tiefergehende Analyse möglicher Schadensszenarien inkl. der Bewertung von deren Eintrittswahrscheinlichkeit, sowie des Schadensausmaßes im Falle eines tatsächlichen Eintretens.
Da eine detaillierte, szenariobasierte Risikobetrachtung nur für kritische Assets durchgeführt wird, kann sichergestellt werden, dass der Fokus jeweils auf den relevanten Assets liegt, aber dennoch ein pragmatischer Ansatz verfolgt wird.
Detaillierte Risikobetrachtung
"Risiken identifizieren"Risikobehandlung und Umsetzungstracking
Je nach ermitteltem Risikowert müssen individuelle technische und / oder organisatorische Maßnahmen definiert werden, um das Risiko auf einen angemessen Wert (gemäß des definierten Rahmens für die Risikoakzeptanz) zu reduzieren. Die verbleibenden (Rest-)Risiken sollen formal durch den Risikoverantwortlichen getragen werden können.
Neben der Maßnahmendefinition behandelt diese Phase insbesondere auch die Nachverfolgung der definierten Maßnahmen bzw. deren zeitgerechte und wirksame Umsetzung.
Risikobehandlung und Umsetzungstracking
"Risiken eliminieren"Erfolgsfaktoren beim Risikomanagement
Im Risikomanagement für Informationssicherheit (InfoSec-Risikomanagement) spielen sowohl gängige Normen wie ISO 27005 oder ISO 31000, als auch Best Practices und organisationsspezifische Gegebenheiten eine große Rolle. Die verschiedenen Risikomanagement-Systeme der Detailebene (IT- oder Informationssicherheit) sollen in die Gesamtsicht des unternehmensweiten Risikomanagements (Enterprise Risk Management) integriert werden.
Das Management von Informationssicherheitsrisiken ist ein zentraler und wichtiger Baustein für den Betrieb eines wirksamen ISMS. Es ist ein Instrument für die Auswahl, Priorisierung und Etablierung angemessener Maßnahmen zur Behandlung identifizierter Bedrohungen und Schwachstellen.
Neben verschiedenen Normanforderungen muss ein InfoSec-Risikomanagement vor allem in der Lage sein aus der Vielzahl an Schwachstellen und Bedrohungen die wirklich relevanten Risiken zu identifizieren. Das bedeutet, für die identifizierten Risiken müssen angemessene (attraktiv aus Sicht der dadurch erzielten Sicherheitsniveaus) und verhältnismäßige (attraktiv aus wirtschaftlicher Sicht) Maßnahmen definiert und umgesetzt werden.
Unser Ziel ist es, gemeinsam mit Ihnen eine pragmatische und zugleich wirksame Methode umzusetzen. Dabei setzen wir auf bewährte Standards und Best Practices wie die ISO 27001, ISO 27005, BSI Standard 200-3, ISO 31000 und vor allem unsere Erfahrung und unser Gespür für das Wesentliche.