Aufbau von Risikomanagement-Systemen

Elementarer Bestandteil eines Informationssicherheitsmanagementsystems (ISMS) ist der Umgang mit Risiken, die sich aus der Informationsverarbeitung ergeben. Dieses Informationssicherheits-Risikomanagement kann nach diversen Vorgaben umgesetzt werden. Für die Methodik stehen sowohl die Vorgaben aus der ISO/IEC 27001:2013 als auch weiterer Normen, wie ISO/IEC 27005:2018 oder der ISO 31000:2018 zur Verfügung.

Für viele Unternehmen ist es eine Herausforderung, die für sie angemessene Vorgehensweise zu definieren und ein Risikomanagement-System aufzubauen.

Wir unterstützen Sie bei der Umsetzung dieser Herausforderung.

Unser Vorgehen

Durch unsere langjährige Erfahrung und unser umfassendes Managementsystem Framework für Risikomanagement-Systeme erstellen wir mit Ihnen zusammen Ihre individuelle Methodik zum Umgang mit Risiken. Hierzu implementieren wir gerne bereits bestehende Managementsysteme in unser Vorgehen oder schaffen Schnittstellen zu Ihrem Unternehmens- oder Konzernrisikomanagement.

Unser Vorgehen berücksichtigt hierbei Ihre individuellen Anforderungen, und lehnt sich – sofern nichts anderes vereinbart wurde – an die Vorgehensweise von ISO/IEC 27005:2018 und ISO 31000:2018 an:

  • Beurteilung von Risiken
    • Definition des Kontextes Ihres ISMS-Risikomanagements
    • Ermittlung von Schutzbedarfen und dem Business Impact bei Eintreten von Risiken
    • Bewertung resultierender ISMS-Risiken
  • Behandlung von Risiken
    • Auswahl geeigneter Risikobehandlungsoptionen
    • Erstellen eines Risikobehandlungsplanes
    • Umsetzen des Risikobehandlungsplans
    • Kriterien zur Risikoakzeptanz
    • Definition von Risikoeigentümern
  • Kommunikation und Reporting
  • Monitoring und Überwachung

Bei der Definition der Methodik berücksichtigen wir selbstverständlich Ihre eigenen Anforderungen an Risikomanagement-Systeme, z. B. aus den Vorgaben der BSI-Kritisverordnung (KritisV), den Anforderungen der IT-Sicherheitskataloge der Bundesnetzagentur (BnetzA) oder anderer Vorgaben.

Umsetzung in Office-Produkten

Quelle: Screenshot aus dem Excel-Tool

Sie haben noch kein Risikomanagement-Tool und möchten erst einmal Erfahrungen in der Methodenumsetzung sammeln? Hierfür bieten wir Ihnen die Möglichkeit, unsere vordefinierten Excel-Vorlagen zu nutzen, die die oben genannten gesetzlichen und regulatorischen Anforderungen bereits berücksichtigen.

Quelle: Screenshot aus dem Excel-Tool

Neben übersichtlicher Risikoanalysen bieten diese Vorlagen auch grafische Auswertungsmöglichkeiten, die z. B. in den Managementbewertungen genutzt werden können. Die Unterscheidung in Brutto- und Nettorisiken ist hierbei möglich.

Risiko-Level und Akzeptanzkriterien richten wir nach Ihren Vorgaben ein.

Risikomanagement mit MONARC

Quelle: Screenshot aus dem Tool MONARC

Für alle Unternehmen, die ihr Risikomanagement in Office-Produkten ablösen und in geeigneten Tools abbilden möchten, bieten wir unsere Unterstützung im Tool MONARC (Optimised Risk Analysis Method) an.

MONARC, welches von CASES.lu entwickelt und unter Open Source Lizenz vertrieben wird, bietet eine Methodik für Risikoanalysen auf der Basis von ISO/IEC 27005 und ist somit eine sinnvolle Alternative.

Quelle: Screenshot aus dem Tool MONARC

Wir bilden Ihre Methodik in MONARC ab und passen die Basis des Tools an Ihre Vorgaben an. Auf Wunsch unterstützen wir Sie bei Ihrer Risikoanalyse und bei der Definition von Maßnahmen. Ebenfalls lässt sich im Tool ihr individuelles Statement of Applicability (SoA) abbilden und eine Schnittstelle zum operativen Risikomanagement darstellen.

Automatisierte Dashboards bieten Ihnen auch hier die Möglichkeit, alle Auswertungen Management-gerecht aufzubereiten und zu nutzen.

Zum Einsatz von MONARC bieten wir Ihnen die unterschiedlichen technischen Möglichkeiten an:

  • Installation einer Instanz in Ihrem Unternehmen
  • Nutzung vorgefertigten Virtueller Maschinen
  • Hosting einer Instanz in der MONARC Cloud
  • Hosting einer Instanz bei der KonzeptAcht GmbH in deutschen Rechenzentren mit Mandantentrennung nach Stand der Technik

Ihr eigenes Tool

Nutzen Sie ihr eigenes bereits implementiertes Tool? Gerne unterstützen wir Sie dabei, Ihre Methodik hierauf anzupassen und hierin umzusetzen. Unsere langjährige Erfahrung in der Informationssicherheit hat uns schon in vielen Kundenprojekten mit diversen Tools arbeiten lassen, sodass wir Ihre Wünsche umsetzen können.

Schulungen

Selbstverständlich bieten wir Ihnen die passenden Schulungen zum Risikomanagement an. Für MONARC stehen hierzu eigene Termine auf unserer Webseite zur Verfügung.

Unsere Werkzeuge

Zum Aufbau Ihres Risikomanagement-Systems nutzen wir die folgenden Werkzeuge:

  • KonzeptAcht Vorgehensweise zum Aufbau eines Risikomanagement-Systems
  • Managementsystem Framework Risikomanagement:
    • Abbildung in gängigen Office-Produkten
    • Abbildung in gängigen Wiki- / CMS-Systemen
  • Tool-Unterstützung:
    • Excel-Formate
    • Umsetzung in MONARC
    • Nutzung Ihrer eigenen Tools

Ihr Nutzen

  • Einheitliches Risikomanagement nach gängigen Standards und dem Stand der Technik
  • Methodik, Umsetzung und Schulung: Alles aus einer Hand
  • Effiziente Vorgehensweise durch vorgefertigte Textvorlagen, die individuell auf Ihr Unternehmen angepasst werden
  • Wissenstransfer während der kompletten Projektlaufzeit
  • Nutzung diverser Frameworks für Tools von Excel bis MONARC
  • Zertifizierungsfähiges ISMS
  • Zugriff auf das Know-how erfahrener Auditoren und Berater, die in ständigem Austausch mit Akkreditierungs- und Zertifizierungsstellen stehen