Lektion 7

10 min

Risikomanagement

Kein ISMS ohne Risikomanagement. In dieser Lektion beschreiben wir, wie ein pragmatisches Vorgehen aussehen kann.

 

Risiken behandeln

Ein risikobasiertes Vorgehen zur Behandlung bedeutet, sich zuerst den größten Risiken zu widmen. Eine sinnvolle Herangehensweise wäre, sich auf die „hohen” und „sehr hohen” Risiken zu konzentrieren und die übrigen Risiken als akzeptiert zu betrachten.

Klassische Möglichkeiten zum Umgang mit einem Risiko sind:

  • Risikovermeidung (Einstellen bzw. Anpassen einer Tätigkeit)

  • Risikoreduktion (Ermittlung von Sicherheitsmaßnahmen)

  • Risikotransfer (z. B. Versicherung)

  • Risikoakzeptanz (die Geschäftsführung trägt die Risiken)

Für jedes hohe und sehr hohe Risiko sollte eine der genannten Behandlungsoptionen in einem Risikobehandlungsplan festgelegt werden.

Die Ergebnisse des Risikomanagements sowie der Behandlungsplan sollten Bestandteil der jährlichen ISMS-Berichterstattung an die Geschäftsführung sein.