ISO 27001 Risikomanagement2020-08-16T13:24:13+02:00

ISO 27001 Risikomanagement

Mit softwaregestütztem Risikomanagement sicher das ISMS nach ISO 27001 und B3S beherrschen.
Hier finden Sie alles Wichtige zum IT-Risikomanagement innerhalb eines ISMS sowie Antworten auf häufige Fragen rund um die ISO 27001.

ISO 27001 Risikomanagement – Übersicht – Nutzen – Anwendung

Kostenlosen Demo-Termin für die ISMS- und IT-Risikomanagement-Software AdiRisk vereinbaren.

  • IT-Risikomanagement Grundlagen- und Expertenwissen

  • 6 wichtige Gründe für das IT-Risikomanagement

  • Der Nutzen von IT-Risikomanagement

  • Wie Sie Ihre IT-Risiken smart und zeitsparend managen

  • Excel Vorlage für die Risikoanalyse als Download

Jetzt kostenlos anmelden

Das Kernstück eines ISMS nach ISO 27001 ist das Risikomanagement mit der Risikoanalyse als Hauptaufgabe. Viele Risikoanalysen erfolgen heute noch mit Tabellenkalkulations-Programmen wie z.B. Excel. Bei umfangreichen Risikoanalysen stoßen Anwender dabei schnell an die Grenzen. Die Tabellen werden zu unübersichtlich und verlieren schließlich die Konsistenz. Die Datenintegrität geht einfach verloren.

Mit der ISMS- und IT-Risikomanagement-Software AdiRisk gehören Dateninkonsistenz, verloren gegangene Risikoanalysen oder zeitfressende Recherchen der Vergangenheit an. Melden Sie sich gleich zum kostenlosen Demo-Termin an und erfahren Sie mehr über IT-Risikomanagement, ISO 27001 und ISO 27005 sowie über B3S.

IS0 27001 – was ist das?2020-07-31T13:56:23+02:00

Die ISO 27001 (korrekte Schreibweise DIN ISO/IEC 27001) ist eine internationale Norm für Informationssicherheit. Sie beschreibt die Anforderungen an ein Informationssicherheits-Managementsystem, kurz ISMS. Das Risikomanagement hat innerhalb des Standards eine zentrale Bedeutung. Die Risikoanalyse und –behandlung sorgt für die Aufrechterhaltung der Schutzziele der Informationssicherheit: Verfügbarkeit, Vertraulichkeit, Integrität und Authentizität. Daneben müssen im Gesundheitsbereich zusätzlich die Aspekte Patientensicherheit und Behandlungseffektivität im Rahmen der Risikoanalyse betrachtet werden (B3S).

Ein nach dem Standard ISO 27001 eingeführtes ISMS kann auch zertifiziert werden.

Eine ISO 27001 Übersicht der Kapitel in deutscher Sprache können Sie sich z.B. beim Beuth-Verlag ansehen.

Warum ISO 27001?2020-08-01T14:20:45+02:00

Für ein ISMS nach ISO 27001 sprechen viele Gründe. Neben den offensichtlichen Motiven das Sicherheitsniveau zu erhöhen oder die Risiken zu minimieren gibt es weitere Vorteile durch eine umgesetzte ISO 27001. Die Geschäftsprozesse werden transparenter, die Außenwirkung wird verbessert und letztendlich werden auch Kosten reduziert. Lesen hier mehr über die Vorteile eines ISMS.

Warum ISO 27001 Zertifizierung?2020-08-01T14:20:06+02:00

Warum eine ISO 27001 Zertifizierung anstreben? In der Tat ist der Weg zum ISO 27001 Zertifikat nicht mal eben ein Wochenendspaziergang. Es sind einige Anforderungen zu erfüllen, bevor ein ISO 27001 Audit angegangen werden kann. Trotzdem gibt es gute Gründe dafür, sich ernsthaft mit der Zertifizierung zu beschäftigen. Lesen Sie hier 26 Vorteile, die Sie grundsätzlich mit einem ISMS und natürlich auch mit einer Zertifizierung nutzen können.

Was sind die ISO 27001 Controls?2020-08-01T14:21:05+02:00

Die ISO 27001 Controls sind im Anhang A der ISO 27001 aufgeführt und definieren insgesamt 114 Maßnahmen, die 14 Bereiche der Informationssicherheit betreffen.

  • A.5 Informationssicherheitspolitik
  • A.6 Organisation der Informationssicherheit
  • A.7 Personalsicherheit
  • A.8 Asset Management
  • A.9 Zugriffskontrolle
  • A.10 Kryptografie
  • A.11 Physische und Umgebungssicherheit
  • A.12 Betriebssicherheit
  • A.13 Kommunikationssicherheit
  • A.14 Systemerwerb, Entwicklung und Wartung
  • A.15 Lieferantenbeziehungen
  • A.16 Informationssicherheits-Störfallmanagement
  • A.17 Informationssicherheitsaspekte
  • A.18 Compliance/Konformität

Der ISO 27001 Maßnahmenkatalog wird u.a. bei der Auditierung bzw. der Zertifizierung zu Grunde gelegt. Dabei müssen nicht alle der Maßnahmen angewendet werden. Vielmehr entscheidet das Unternehmen für sich selbst, welche der 114 Controls relevant sind.

ISO 27001 oder IT-Grundschutz?2020-08-01T14:21:18+02:00

ISO 27001 und BSI Grundschutz sind grundsätzlich ähnlich – es soll ein Managementsystem für Informationssicherheit (ISMS) umgesetzt werden, um Risiken im Bereich der Informationssicherheit durch geeignete Maßnahmen auf ein akzeptables Maß zu reduzieren.

Im Vergleich der beiden Methoden liegt jedoch ein wesentlicher Unterschied in der Risikoanalyse und dem Bewerten der Risikoobjekte. Die Risikoanalyse nimmt bei der ISO 27001 eine entscheidende Rolle ein, während nach dem IT-Grundschutz eine Risikoanalyse nur in besonderen Fällen erforderlich ist. Hier finden Sie eine Gegenüberstellung der beiden ISMS-Ansätze.

Wann eine ISO 27001 Software einsetzen?2020-08-18T08:52:09+02:00

Wenn Sie hier gelandet sind, dann haben Sie sich bereits mit dem Thema Softwareeinsatz für Ihr ISMS beschäftigt. Vielleicht ergeht es Ihnen ähnlich wie uns, als wir den Entschluss trafen, ein ISMS nach ISO 27001 einzuführen und auch zertifizieren zu lassen.

Die Risikoanalyse, das Herzstück eines ISO 27001-ISMS, besteht aus einer Vielzahl von Excel-Tabellen, die über raffinierte Verknüpfungen miteinander verbunden sind. Ab einem bestimmten Zeitpunkt wird diese Vorgehensweise jedoch unübersichtlich und letztendlich leidet die Qualität. Nicht nur, dass Daten verloren gehen. Es müssen bereits durchgeführte Risikoanalysen mitunter neu erhoben werden und mit vorhandenen Papierdokumenten abgeglichen werden.

Spätestens dann entsteht der Wunsch nach einer professionellen Softwareunterstützung.

Bei der Auswahl einer ISO 27001 Software sollten Sie unbedingt die folgenden Aspekte berücksichtigen:

  • Die Software unterstützt grundsätzlich ein ISMS nach ISO 27001
  • Die Software unterstützt das Risikomanagement nach ISO 27005
  • Die Software unterstützt weitere in Ihrer Branche relevante Standards
  • Innerhalb der Software können Sie eine freie Skaleneinteilung und Beschriftung für Auswirkungen und Eintrittswahrscheinlichkeiten vornehmen
  • Die Risikomatrix wird Ihnen grafisch dargestellt und sie können die Farben der Matrix frei definieren
  • Es sind vordefinierte Kataloge für Bedrohungen, Schwachstellen und Maßnahmen enthalten
  • Es gibt Filtermöglichkeiten, um die Auswahl von Bedrohungen, Schwachstellen und Maßnahme einzuschränken
  • Die Schutzziele (Verfügbarkeit, Integrität, Vertraulichkeit, Authentizität) werden in der Risikoanalyse dokumentiert
  • Zu jedem Risiko können vordefinierte Maßnahmen ausgewählt werden
  • Die Umsetzung jeder Maßnahme kann mit Aktivität, Verantwortlichem und Termin hinterlegt werden
  • Für die Umsetzung lassen sich weitere Größen ergänzen wie z.B. Kosten oder Aufwand
  • Sie erhalten einen Überblick über die Risiken vor und nach (Restrisiko) der Risikobehandlung
  • Die Anwendung ist performant (Antwortzeiten unter 1 Sekunde)
  • Die Daten werden regelmäßig und mindestens täglich gesichert
  • Der Betrieb erfolgt bei Cloud-Anwendungen in einem deutschen nach ISO 27001 zertifiziertem Rechenzentrum
  • Es muss keine Software auf den Clients der Endbenutzer installiert werden
  • Die Software funktioniert auch ohne clientseitiges Java, Flash oder Silverlight
  • Es gibt eine lokale Benutzerverwaltung, die LDAP und Active Directory unterstützt
  • Die Software bietet grundsätzlich die Möglichkeit, Schnittstellen zu Drittsystemen herzustellen
  • Die Software wird mindestens jährlich weiterentwickelt
  • Fehlerbereinigungen erfolgen in kürzester Zeit
  • Der Anwender kann auf neue Features Einfluss nehmen
  • Das Unternehmen ist bereits seit vielen Jahren am Markt
  • Das Unternehmen ist selbst nach ISO 27001 zertifiziert
  • Das Unternehmen bietet Schulungen speziell für die Software und Themenschulungen an
Was ist Risikomanagement?2020-08-01T14:21:43+02:00

Das Risikomanagement beschreibt den strukturierten Umgang mit Risiken und umfasst sämtliche Maßnahmen zur

  • Erkennung
  • Analyse
  • Bewertung
  • Überwachung
  • Steuerung
  • Kontrolle

von Risiken.
Quelle: https://de.wikipedia.org/wiki/Risikomanagement

Risiko: Mögliches Ereignis, das mit einer Eintrittswahrscheinlichkeit eine bestimmte (negative) Auswirkung (Schaden) zur Folge hat.

 

Warum IT-Risikomanagement?2020-08-01T14:21:51+02:00

Einem IT-Risikomanagement können gesetzliche, betriebliche oder wirtschaftliche Anforderungen zu Grunde liegen.

  • Gesetzliche Anforderungen einhalten und nachweisen
    Gesetzlichen Anforderungen wie z.B. KonTraG oder KRITIS wird entsprochen
  • Organisationsweit kritische Prozesse und Abläufe identifizieren
    Schärft den Blick auf die wirklich kritischen Risikoobjekte
  • Systematisch Bedrohungen und Schwachstellen erkennen
    Bislang nicht abgesicherte Bedrohungen und Schwachstellen werden aufgezeigt
  • Zertifizierung z.B. nach ISO 27001 wird angestrebt
    Das Risikomanagement ist Hauptbestandteil eines ISMS nach ISO 27001
  • Risikoorientierte Maßnahmenplanung spart Zeit und Ressourcen
    Risiken werden nach ihrer Kritikalität betrachtet und Ressourcen damit bedarfsgerecht gesteuert
  • Stärkt das Sicherheitsbewusstsein der Mitarbeiter und vermeidet Kosten durch Sicherheitsvorfälle
    Aufgeklärte und informierte Mitarbeiter handeln umsichtiger und effizienter

 

IT-Risikomanagement mit AdiRisk

IT-Risikomanagement mit AdiRisk

Jetzt einen kostenlosen Termin für Ihre AdiRisk-Demo vereinbaren und die Vorteile entdecken.

Nehmen Sie jetzt an der kostenlosen Demo teil und erfahren Sie in nur 45 Minuten, wie Sie Ihr IT-Risikomanagement optimieren können.

  • IT-Risikomanagement Grundlagen- und Expertenwissen

  • 6 wichtige Gründe für das IT-Risikomanagement

  • Der Nutzen von IT-Risikomanagement
  • Wie Sie Ihre IT-Risiken smart und zeitsparend managen

  • Excel Vorlage für die Risikoanalyse als Download

Jetzt kostenlos anmelden

Nach oben