<!-- docId: IMS-06-01 -->
<!-- status: entwurf -->
<!-- version: 0.1 -->
<!-- owner: Patrick Motsch -->
<!-- approver: Geschäftsführung PowerOn AG -->
<!-- approvedDate: -->
<!-- nextReview: 2027-06-03 -->
<!-- classification: intern -->
<!-- isoRefs: 27001:6.1.2,6.1.3,8.2,8.3; 9001:6.1 -->

# Risikomanagement-Methodik

**Dokumenttyp:** Verfahren (Pflichtdokument ISO 27001 6.1.2)
**Geltungsbereich:** Informationssicherheits- und Qualitätsrisiken im IMS-Scope

## 1. Zweck

Dieses Verfahren legt fest, wie PowerOn Risiken und Chancen identifiziert, bewertet, behandelt und überwacht -- für ISO 27001 (Informationssicherheitsrisiken) und ISO 9001 (Risiken/Chancen für die Prozess- und Produktqualität).

## 2. Vorgehen

```mermaid
flowchart LR
    id["1 Identifikation (Assets, Bedrohungen, Schwachstellen, Prozessrisiken)"] --> an["2 Analyse (Eintritt x Auswirkung)"]
    an --> ev["3 Bewertung gegen Akzeptanzkriterien"]
    ev --> tr["4 Behandlung (vermeiden/vermindern/übertragen/akzeptieren)"]
    tr --> mo["5 Überwachung & Review"]
    mo --> id
```

## 3. Bewertungsskala

**Eintrittswahrscheinlichkeit (W)** und **Auswirkung (A)** je 1-4:

| Stufe | W (Wahrscheinlichkeit) | A (Auswirkung) |
|---|---|---|
| 1 | selten (< 1x/Jahr) | gering (kaum spuerbar) |
| 2 | möglich | spuerbar (begrenzt, intern) |
| 3 | wahrscheinlich | erheblich (Kunde/Daten betroffen) |
| 4 | sehr wahrscheinlich (laufend) | kritisch (Datenverlust, Ausfall, Rechtsbruch) |

**Risikowert = W x A** (1-16).

| Risikowert | Klasse | Vorgabe |
|---|---|---|
| 1-3 | niedrig | akzeptieren, beobachten |
| 4-8 | mittel | Behandlung planen, terminiert |
| 9-12 | hoch | Behandlung priorisiert, zeitnah |
| 13-16 | sehr hoch | sofortige Massnahmen, Leitung informieren |

## 4. Risikoakzeptanzkriterium

Risiken der Klasse **niedrig** können ohne weitere Massnahme akzeptiert werden. Ab **mittel** ist eine dokumentierte Behandlung mit Owner und Termin erforderlich. Restrisiken ab **hoch** müssen von der obersten Leitung formal akzeptiert werden.

## 5. Behandlungsoptionen und Bezug zum SoA

Für Informationssicherheitsrisiken werden Massnahmen primär aus den **ISO 27001 Annex-A-Controls** abgeleitet; die Anwendbarkeit und Umsetzung wird im [Statement of Applicability](statement-of-applicability-soa.md) dokumentiert. Umsetzungsmassnahmen und Restrisiken werden im [Risikoregister](risikoregister.md) geführt; offene Massnahmen laufen ins [Massnahmenregister](../07_verbesserung/massnahmen-register.md).

## 6. Turnus

Risikobeurteilung mindestens **jährlich** sowie **anlassbezogen** (wesentliche Architektur-/Prozessänderung, schwerer Incident, neuer wesentlicher Lieferant). Ergebnisse fliessen ins [Management-Review](../06_bewertung/management-review.md).