Jedes Unternehmen strebt mittels seiner Geschäftsziele den Markterfolg an, dabei gilt es Chancen und Risiken abzuwägen. Aus gesetzlichen bzw. regulatorischen Anforderungen ist es erforderlich, ein effektives Risikomanagementsystem zu etablieren und zu erhalten, als ein Kernelement der Unternehmenssteuerung. Hierzu ist ein einheitliches Vorgehen notwendig, was im Rahmen des Risikomanagements festgelegt wird.
Der gesamte Risikomanagementprozess ist im Rahmen einer Richtlinie bzw. entsprechend im ISMS zu dokumentieren und orientiert sich am Geltungsbereich des ISMS. Wichtig ist auch die Festlegung der Rollen und Verantwortlichen. Für die Steuerung des Risikomanagements sollte ein Risikomanager festgelegt werden. Das kann auch der Informationssicherheitsbeauftragte (ISB) übernehmen. Der Risikomanager steuert das Risikomanagement und behält die Risiken im Blick. Wir empfehlen eine umfangreiche jährliche Überprüfung der Risiken. Der Risikoeigner ist für die Beurteilung und Behandlung der ihm zugewiesenen Risiken zuständig. Mitarbeiter außerhalb der IT sollten Bedrohungen ebenfalls erkennen und melden, sofern dies in ihrem Rahmen möglich ist. Ein Risikomanagement ist im Idealfall ein gelebter Prozess im Unternehmen, welcher jeden Mitarbeiter miteinbezieht.
Das Risikomanagement ist ein wichtiges Instrument, um eventuelle Informationssicherheitsrisiken für Ihr Unternehmen rechtzeitig zu erkennen und angemessen reagieren zu können, um so die geforderte Verfügbarkeit, Integrität und Vertraulichkeit der Unternehmensinformationen zu gewährleisten.
Das Risikomanagement hat folgende Ziele:
- Ermittlung Ihrer informationsrelevanten Gefährdungen,
- Feststellung und Bewertung Ihrer Schwachstellen,
- Eruierung Ihrer informationsrelevanten Unternehmenswerte (Assets) und deren Eigentümer,
- Bewertung der Risiken nach nachvollziehbaren Kriterien,
- Aufsetzen von Maßnahmen zur Reduzierung Ihrer Risiken,
- Entscheidungsfindung zur Priorität Ihrer Risikobehandlung und Ihrer Maßnahmenumsetzung auf Basis der Maßnahmenvorschläge sowie
- Dokumentation und Kommunikation Ihrer relevanten Risiken.