Risikobehandlung (Risk Treatment)

Im BSI-Grundschutz ist eine Risikobehandlung nach den Gesichtspunkten “inakzeptables Risiko” (rot), “ALARP“ (gelb) und “akzeptiertes Risiko” (gr├╝n) nicht vorgesehen. Bei der Vorgehensweise nach BSI-Grundschutz sollen alle vorgeschlagenen Ma├čnahmen implementiert werden, es sei denn, es bestehen ausreichend gute Gr├╝nde die Umsetzung einer Ma├čnahme abzulehnen. Da die Risikobehandlung nicht vorgesehen ist, fehlt auch die Risiko├╝bersicht, in der aufgezeigt wird, wie das Rest-Risiko nach der Ma├čnahmen-Implementierung eingesch├Ątzt wird. Es fehlt also ein wesentliches Steuerungselement. Siehe aber unten “opus i”.
Bei der Vorgehensweise nach der ISO 27001 und insbesondere der ISO 27002, ist ein Risikobehandlungsplan gefordert. Dieser Risikobehandlungsplan ist wesentliche Grundlage der verschiedenen Arten der Audits. Man erkennt darin, wie die Risiken vor der Behandlung (vor der Ma├čnahmen-Implementierung) und nach der Risiko-Behandlung eingesch├Ątzt werden. Bei den Audits “sollen Fortschritte bez├╝glich der Risiko-Minimierung erkennbar sein”.

Grunds├Ątzlich kann man sagen: in jedem IT-Sicherheits-Management-System (ISMS) sollte/muss eine Risikobehandlung vorhanden sein.
Der Risiko-Behandlungsplan ist auch ein gutes Instrument um die Implementierungs-Reihenfolge der Ma├čnahmen zu steuern. Zuerst werden die inakzeptablen Risiken (rot) abgesichert, dann die ALARP-Risiken (gelb) und bei besonderem Bedarf die akzeptierten Risiken (gr├╝n).

(c) Gerhard Kron

opus i: In opus i sind sowohl f├╝r die Vorgehensweise nach BSI-Grundschutz, als auch f├╝r die nach der ISO 27001/2 die Risikobehandlung vorgesehen und automatisiert.

(c) kronsoft (r)                         Referenzen | Presse | Auszeichnungen | IT-Tag | Sitemap | Kundenbereich | Freeware

kronsoft-IT-Sicherheits-Glossar

IT-Sicherheits-Glossar
bereitgestellt von kronsoft