Das Informationssicherheits-Risikomanagement umfasst die Bewertung möglicher Risiken und das Ergreifen von Maßnahmen zur Minderung dieses Risikos sowie die Überwachung des Ergebnisses. Zu jeder Bewertung gehört die Definition der Art des Risikos und die Bestimmung der Gefährdung der Informationssystemsicherheit. Dies führt direkt zu einer Risikominderung, z. B. zur Aktualisierung von Systemen, um die Wahrscheinlichkeit des bewerteten Risikos zu minimieren. Schließlich umfasst das Risikomanagement die laufende Überwachung des Systems, um festzustellen, ob die Risikominderungsmaßnahmen zu den gewünschten Ergebnissen geführt haben.
IT-Selbstverteidigungsgrundlagen
Eine Organisation muss sicherstellen, dass sie über die Fähigkeiten verfügt, um ihre Mission zu erfüllen. Es muss die Risiken identifizieren, die diese Fähigkeiten bedrohen, und die Schutzmaßnahmen unter Berücksichtigung der wirtschaftlichen und sonstigen Kosten dieser Maßnahmen bewerten. Ein Risiko, mit dem die meisten modernen Organisationen konfrontiert sind, ist die Informationssicherheit. Eine Organisation muss ermitteln, wo die gefährdete Informationssicherheit die Fähigkeit beeinträchtigen könnte, ihren Auftrag zu erfüllen, und geeignete Korrekturmaßnahmen im Rahmen des festgelegten Haushaltsrahmens ergreift.
Risikoabschätzung
Wenn ein Unternehmen feststellt, dass Schwächen in der Informationssicherheit ein Risiko für seine Fähigkeiten darstellen, muss es seine IT-Systeme, Betriebsabläufe, Verfahren und externen Interaktionen gründlich prüfen, um herauszufinden, wo die Risiken liegen. Dies bedeutet das Erkennen möglicher Bedrohungen, Anfälligkeiten für diese Bedrohungen, mögliche Gegenmaßnahmen, Auswirkungen und Wahrscheinlichkeit. Risiken können je nach Auswirkung und Wahrscheinlichkeit nach Schweregrad klassifiziert werden. Die Bewertung ist wichtig, da sie die Ermittlung hoher Risiken ermöglicht, die gemindert werden müssen.
Risikominderung
Schadensbegrenzung bedeutet, die in der Bewertung festgestellten Risiken zu reduzieren oder zu beseitigen. Strategien für den Umgang mit dem Risiko umfassen die Annahme des Risikos, das Ergreifen von Maßnahmen, die das Risiko senken, die Vermeidung des Risikos durch Beseitigung der Ursache, die Begrenzung des Risikos durch die Einführung von Kontrollen oder die Übertragung des Risikos auf einen Lieferanten, einen Kunden oder ein Versicherungsunternehmen. Welche Strategie geeignet ist, hängt von dem Ausmaß ab, in dem das Risiko die Fähigkeit der Organisation zur Erfüllung ihrer Aufgaben beeinträchtigt, und den Kosten für die Umsetzung der Strategie. Eine strukturierte Risikominderung ist als Rahmen für das Risikomanagement wichtig.
Bewertung und Überwachung
Nach Abschluss der Bewertung und Eindämmung muss die Organisationseinheit das unmittelbare Ergebnis bewerten und das System laufend überwachen. Dieser Prozess beginnt mit einer Bewertung der Auswirkungen der Bewertung und der Minderung, einschließlich der Festlegung von Benchmarks für den Fortschritt. Die Bewertung der Auswirkungen von Änderungen und Ergänzungen von Informationssystemen wird fortgesetzt. Schließlich führt es eine kontinuierliche Überwachung der Informationssicherheitsleistung durch, mit dem Ziel, Bereiche zu identifizieren, die möglicherweise auf zusätzliches Risiko geprüft werden müssen. Bewertung und Überwachung sind wichtig, um festzustellen, wie erfolgreich die Organisationseinheit ihr Informationssicherheitsrisiko gemanagt hat.