ISMS-Risiken behandeln

Im Bereich Risikobehandlung sehen Sie alle Risiken mit einem Bruttorisiko der Klasse 2 oder 3. Hier ordnen Sie einem ISMS-Risiko über die Eigenschaften Maßnahmen zu, damit das Risiko verringert oder vermieden werden kann. Beim jeweiligen Risiko sehen Sie die Assets, die mit dem Risiko verknüpft sind und die Risikoklasse vor den Maßnahmen. Wenn Sie dem Risiko eine oder mehrere Maßnahmen zugeordnet haben, bewerten Sie das Nettorisiko zur Ermittlung der Risikoklasse nach den Maßnahmen. Abschließend bewerten Sie hier, wie mit dem Restrisiko umgegangen wird.

Anleitung:

  1. Navigieren Sie zum ISMS-Risiko per Doppelklick auf das entsprechende Objekt

    Hinweis: Sie können alternativ das Objekt per Klick selektieren und über die Eigenschaften konfigurieren, ohne direkt zum Objekt zu navigieren.

  2. Öffnen Sie den Bereich Weitere Attribute in der Eigenschaften-Sidebar und referenzieren Sie unter Aufgaben die ISMS-Maßnahme oder zentrale Maßnahme, die umgesetzt werden soll

    ODER

    Klicken Sie auf Weitere Aktionen und dann auf ISMS-Maßnahme anlegen, um eine neue Maßnahme anzulegen:

    ODER

    Klicken Sie auf Weitere Aktionen und dann auf Zentrale Maßnahmen zuweisen / entfernen, um eine Aufgabe aus den zentralen Maßnahmenordnern zu referenzieren:

    Hinweis: Über die Aktion Zentrale Maßnahmen zuweisen / entfernen können Sie im anschließenden Dialog referenzierte zentrale Maßnahmen wieder entfernen.

    Hinweis: Zentrale Maßnahmen sind alle technischen und organisatorischen Maßnahmen, die unternehmensweit und assetübergreifend gelten. Diese Maßnahmen unterscheiden sich nicht von anderen Maßnahmen innerhalb des ISMS, außer dass sie in einem bestimmten Maßnahmenordner liegen.

    Hinweis: Maßnahmen können Sie dann direkt über das Aufgaben-Dashboard des Portals, das auch in der ISMS-App integriert ist, abarbeiten. Alles zum Aufgaben-Dashboard erfahren Sie unter Aufgabenmanagement.

    Siehe auch: Wie Sie Risikoaufgaben konfigurieren, ist unter Risikoaufgaben beschrieben.

  3. Navigieren Sie zurück zum Risiko und referenzieren Sie in den Eigenschaften unter Durchzuführende Kontrollen ggf. eine oder mehrere ISO-27001-Maßnahmen, um den Bezug zur SoA zu belegen

    Siehe auch: Erklärung der Anwendbarkeit (SoA)

  4. Navigieren Sie zur durchzuführenden Kontrolle per Doppelklick und konfigurieren Sie ISMS-spezifische sowie allgemeine Eigenschaften:

    ISMS-Eigenschaft

    		 Beschreibung
    Zugeordnete Controls Hier verknüpfen Sie die Kontrolle mit weiteren Kontrollen.
    Zugeordnete Normkapitel Hier verknüpfen Sie die Normkapitel, auf die sich die Kontrolle bezieht.
    Solltermin Hier wählen Sie aus, bis wann die Kontrolle umgesetzt werden soll.
    Status der Umsetzung Hier wählen Sie den Status der Kontrolle aus.

    Siehe auch: Wie Sie Kontrollen allgemein konfigurieren, ist unter Risiko-Kontrollen beschrieben.

  5. Navigieren Sie zurück zum Risiko und bewerten Sie in den Eigenschaften unter ISMS die Risikoauswirkung nach den Maßnahmen auf den Ebenen Vertraulichkeit, Integrität, Verfügbarkeit und Authentizität

  6. Legen Sie im Bereich ISMS bei Umgang Risiko fest, ob Sie das Risiko akzeptieren, behandeln, vermeiden oder versichern

  7. Wechseln Sie in den Eigenschaftenbereich Netto-Bewertung

  8. Legen Sie die Eintrittswahrscheinlichkeit (netto) fest

  9. Legen Sie in den Eigenschaften je nach Bedarf die restlichen ISMS-relevanten Eigenschaften fest:

    Eigenschaft

    Beschreibung
    ISMS
    Status Hier legen Sie fest, ob das Risiko zugewiesen, bewertet, behandelt oder identifiziert wurde.
    Begründung Risikobewertung Hier können Sie Ihre Risikobewertung begründen.
    Wiedervorlage-Datum Hier legen Sie fest, wann das Risiko erneut bewertet werden muss.
    Datum der Risikobewertung Hier geben Sie das Datum an, an dem Sie das Risiko angelegt haben.

    Siehe auch: Alle Eigenschaften zur Konfiguration eines Risikos sind unter Risiko anlegen beschrieben.

Ergebnisse:

  • Nachdem Sie die Eintrittswahrscheinlichkeit und Risikoauswirkungen beim Nettorisiko festgelegt haben, wird die Risikoklasse nach den Maßnahmen automatisch berechnet. Sie können die Risikoklasse in der Tabelle sehen:

    Hinweis: Brutto- und Nettorisiken, die unvollständig oder gar nicht bewertet wurden, bekommen automatisch Risikoklasse 3.

  • Nachdem Sie die Eintrittswahrscheinlichkeit und Risikoauswirkungen beim Brutto- und Nettorisiko festgelegt haben, wird das Risiko entsprechend in die Risiko-Heatmap nach den Maßnahmen übernommen.

    Siehe auch: Die Funktionsweise der Risiko-Heatmap ist unter Risiko-Matrix beschrieben.