Diskussion:Risikoanalyse
Was ist eine Risikobewertung der Informationssicherheit?
Eine Risikobewertung nach ISO 27001 hilft Unternehmen dabei, Vorfälle zu identifizieren, die sensible Daten gefährden könnten, und entsprechende Maßnahmen zu treffen.
- Cyberkriminelle können diese Schwachstellen ausnutzen.
- Es kann aber auch sein, dass Mitarbeiter Fehler machen.
- Daher beginnt das Verfahren mit der Identifizierung potenzieller Bedrohungen.
- Danach wird das Ausmaß des Risikos bestimmt und schließlich wird die beste Vorgehensweise zur Risikovermeidung ermittelt.
Sowohl die Gap Analyse als auch die Risikobewertung der Informationssicherheit unterstützen Unternehmen dabei, potenzielle Risiken zu identifizieren.
- Diese werden dann den entsprechenden Maßnahmen zugeordnet, die umgesetzt werden müssen.
Alle Maßnahmen werden in Anhang A beschrieben.
- Anhang A ist zwar ein hilfreicher Leitfaden, dennoch wünschen Sie sich wahrscheinlich umfassendere Informationen für die Umsetzung.
- Hier kommt die ISO 27002 ins Spiel.
Die ISO 27002-Norm besteht aus einer Reihe von Informationssicherheitsstandards, die Unternehmen bei der Umsetzung, Pflege und Verbesserung ihres Informationssicherheitsmanagements unterstützen sollen.
- Es handelt sich um ein Framework mit Best-Practice-Empfehlungen zur Umsetzung der in Anhang A der ISO 27001 aufgeführten Maßnahmen.
- Sie ist eine Ergänzung zur ISO 27001 und sollte ebenfalls geprüft werden.
In beiden ISO-Normen finden Sie Informationen, die für die Erstellung Ihrer SoA erforderlich sind.
- Sie brauchen also Exemplare beider Normen.