Workshop IT Risk Management in der Praxis

ISO 27005 Workshop

IT Risk Management nach ISO/IEC 27005

IT-Risikomanagement ist Pflicht. Nicht nur die Norm ISO/IEC 27001 fordert einen entsprechenden Umgang mit den IT-Risiken, auch der Gesetzgeber, Versicherungen, Banken und Anteilseigner erwarten das von Vorständen, Geschäftsführern und IT-Leitern.

Im Leitfaden ISO/IEC 27005 gibt es Vorschläge, wie ein IT Risk Management praxisnah umgesetzt werden kann. Ziel dieses Workshops ist, diese anerkannte Methode nicht nur in der Theorie, sondern auch anhand von praktischen Beispielen zu vermitteln.

IT-Risikomanagement in Theorie und Praxis

Um Security Officern bzw. Sicherheitsverantwortlichen und ISO 27001 Auditoren etwas Praktisches an die Hand zu geben, haben wir mit unserem Partner Plan42 diesen Workshop IT Risk Management in der Praxis ins Leben gerufen. In diesem Kurs geht es darum, verschiedene Ansätze von Risikomanagement - vor allem die Phasen Risikoabschätzung (Risk Estimation), Risikoanalyse (Risk Analysis) und Risikobewertung (Risk Evaluation), also die gesamte Bandbreite der Risikoeinschätzung (Risk Assessment) - praktisch zu üben.

Natürlich gehen wir auch auf die Phasen Risikobehandlung (Risk Treatment) und Risikoakzeptanz (Risk Acceptance) ein. Ebenso erarbeiten wir gemeinsam verschiedene Arten von Risiko-Klassifizierungsmöglichkeiten (Kriterien zur Risikobewertung) für die Parameter Eintrittswahrscheinlichkeit, Schadenshöhe und Erkennungswahrscheinlichkeit aus, um den Teilnehmern etwas Konkretes für ihr Berufsleben mitgeben zu können.

Weitere Themenpunkte im Workshop sind, welche Voraussetzungen im Sinne des ISMS bereits erfüllt sein müssen, um mit dem Risikomanagement beginnen zu können, wann und wie häufig das Risikomanagement durchlaufen werden muss und wie es in das ISMS, vor allem im kontinuierlichen Verbesserungsprozess, eingebunden ist.

InhaltInhalt

ISO 27005 IT Risk Management Workshop – 1 Tag Kurs & Kursinhalt

Dieser eintägige Kurs ist sowohl ein idealer Praxis-Aufbau für den ISO 27001 Information Security Officer, als auch eine wertvolle Weiterbildung für alle Mitarbeiter einer Organisation, die Sicherheitsverantwortung tragen.

In diesem Tages-Seminar werden zum einen alle wichtigen theoretischen Grundlagen, Begriffe und Inhalte vermittelt, zum andern wird mit den Teilnehmern an unterschiedlichsten praxisnahen Beispielen geübt.

  • Abgrenzung des Analysebereichs
  • Identifikation der bedrohten Assets
  • Impact Analyse
  • Festlegung der Bewertungsbasis
  • Bewertung der bedrohten Assets
  • Bedrohungsanalyse
  • Schwachstellenanalyse
  • Identifikation bestehender Sicherheitsmaßnahmen
  • Risikobewertung
  • Vorgehen nach IT-Grundschutz
  • Schutzbedarfsfeststellung
  • Vorgehen bei Abweichungen
  • Modellierung
  • Soll-Ist-Vergleich zwischen vorhandenen und empfohlenen Maßnahmen
  • Ergänzende Risikoanalyse
  • Risikobehandlung

 

Die wichtigsten Fragen und Antworten (FAQs) zum Thema IT-Risikomanagement

  1. Was ist Risikomanagement?
  2. Was ist ein Informationssicherheits-Risiko?
  3. Wann spricht man von einer Bedrohung?
  4. Wie wird eine Schwachstelle beschrieben?
  5. Was ist eine Risikoabschätzung (Risk Estimation)?
  6. Was ist eine Risikoanalyse (risk analysis)?
  7. Wie verläuft eine Risikobewertung (risk evaluation)?
  8. Was ist eine Risikoeinschätzung (Risk Assessment)?
  9. Wie definiert man den Begriff Risikobehandlung?
  10. Was bedeutet der Begriff Risikoakzeptanz (Risk Acceptance)?
  11. Was sind die grundlegenden Schritte bei der Einschätzung von Informationssicherheitsrisiken?

1. Was ist Risikomanagement?

Entstprechend der Definition in Anlehnung an ISO/IEC 27000, 2.42 werden im Risikomanagement Aktivitäten zur Steuerung und Leitung einer Organisation oder eines Unternehmens im Hinblick auf Risiken aufeinander abgestimmt.

2. Was ist ein Informationssicherheits-Risiko?

Nach der Definition in Anlehnung an ISO/IEC 27000, 2.42 ist die mögliche Ausnutzung einer Schwachstelle mit einem Asset (Wert) durch eine Bedrohung und der eventuell dadurch entstehende Schaden ein Informationssicherheits-Risiko.

3. Wann spricht man von einer Bedrohung?

Eine Bedrohung besteht per Definition in Anlehnung an ISO/IEC 27000, 2.42 dann, wenn durch die Auslösung eines ungewollten Vorfalls möglicherweise ein Schaden verursacht werden kann.

4. Wie wird eine Schwachstelle beschrieben?

Nach der Definition in Anlehnung an ISO/IEC 27000, 2.42 ist eine Schwachstelle die Verwundbarkeit oder Eigenschaft einer Maßnahme bzw. eines Wertes (Asset), die durch eine Bedrohung ausgenutzt werden kann.

5. Was ist eine Risikoabschätzung (Risk Estimation)?

Eine Risikoabschätzung ist nach der Definition in Anlehnung an ISO/IEC 27000, 2.42 die Bestimmung von Auswirkung und Eintrittswahrscheinlichkeit eines Risikos.

6. Was ist eine Risikoanalyse (risk analysis)?

Entsprechend der Definition in Anlehnung an ISO/IEC 27000, 2.42 nennt man die Risikoabschätzung und das systematische Vorgehen zur Feststellung von Risiken eine Risikoanalyse.

7. Wie verläuft eine Risikobewertung (risk evaluation)?

Bei einer Risikobewertung wird ein abgeschätztes Risiko mit bestimmten vorgegebenen Bewertungs- bzw. Risikokriterien zur Feststellung der Risikosignifikanz verglichen. (Definition in Anlehnung an ISO/IEC 27000, 2.42)

8. Was ist eine Risikoeinschätzung (Risk Assessment)?

Nach der Definition in Anlehnung an ISO/IEC 27000, 2.42 nennt man den gesamten Prozess der Risikoabschätzung und Risikobewertung Risikoeinschätzung.

9. Wie definiert man den Begriff Risikobehandlung?

Eine Risikobehandlung ist ein Prozess, in dem Maßnahmen ausgewählt und mit dem Ziel umgesetzt werden, Risiken zu verändern bzw. zu modifizieren (Definition in Anlehnung an ISO/IEC 27000, 2.42).

10. Was bedeutet der Begriff Risikoakzeptanz (Risk Acceptance)?

Wenn ein Risiko bereits bekannt ist aber absichtlich keine Risikobehandlung erfolgt, spricht man von Billigung eines Risikos und damit von Risikoakzeptanz (Definition in Anlehnung an ISO/IEC 27000, 2.42).

11. Was sind die grundlegenden Schritte bei der Einschätzung von Informationssicherheitsrisiken?

Im ersten Schritt werden die Risikokriterien festgelegt. Hier handelt es sich vor allem um die Akzeptanz aber auch um die Bewertungskriterien (Risiko-Klassifzierungskriterien). Im zweiten Schritt wird der Risiko Management Prozess bzw. das Risk Management Verfahren definiert, um eine Wiederholbarkeit sicher zu stellen. Vgl. hier auch Risikomanagement Prozess gem. ISO 27005.
Im dritten Schritt werden die Risiken analysiert. Dafür gilt es 1. die Risiken zu identifizieren, ihnen 2. einen Risikoverantwortlichen (Risk Owner) zuzuordnen und dann mit Hilfe von Eintrittswahrscheinlichkeit und Auswirkung abzuschätzen.
Im letzten und vierten Schritt werden die Risiken bewertet (vgl. ISO 27001:2013, Kap. 6).

 

 Typische ISO 27000 Prüfungsfragen