PowerOn/wiki
3
0
Fork 0
Code Issues Pull requests Projects Releases Packages Wiki Activity Actions
wiki/e-compliance/ims/03_planung/risikomanagement-methodik.md

2.7 KiB
Raw Blame History

Risikomanagement-Methodik

Dokumenttyp: Verfahren (Pflichtdokument ISO 27001 6.1.2) Geltungsbereich: Informationssicherheits- und Qualitätsrisiken im IMS-Scope

1. Zweck

Dieses Verfahren legt fest, wie PowerOn Risiken und Chancen identifiziert, bewertet, behandelt und überwacht -- für ISO 27001 (Informationssicherheitsrisiken) und ISO 9001 (Risiken/Chancen für die Prozess- und Produktqualität).

2. Vorgehen

flowchart LR
    id["1 Identifikation (Assets, Bedrohungen, Schwachstellen, Prozessrisiken)"] --> an["2 Analyse (Eintritt x Auswirkung)"]
    an --> ev["3 Bewertung gegen Akzeptanzkriterien"]
    ev --> tr["4 Behandlung (vermeiden/vermindern/übertragen/akzeptieren)"]
    tr --> mo["5 Überwachung & Review"]
    mo --> id

3. Bewertungsskala

Eintrittswahrscheinlichkeit (W) und Auswirkung (A) je 1-4:

Stufe W (Wahrscheinlichkeit) A (Auswirkung)
1 selten (< 1x/Jahr) gering (kaum spuerbar)
2 möglich spuerbar (begrenzt, intern)
3 wahrscheinlich erheblich (Kunde/Daten betroffen)
4 sehr wahrscheinlich (laufend) kritisch (Datenverlust, Ausfall, Rechtsbruch)

Risikowert = W x A (1-16).

Risikowert Klasse Vorgabe
1-3 niedrig akzeptieren, beobachten
4-8 mittel Behandlung planen, terminiert
9-12 hoch Behandlung priorisiert, zeitnah
13-16 sehr hoch sofortige Massnahmen, Leitung informieren

4. Risikoakzeptanzkriterium

Risiken der Klasse niedrig können ohne weitere Massnahme akzeptiert werden. Ab mittel ist eine dokumentierte Behandlung mit Owner und Termin erforderlich. Restrisiken ab hoch müssen von der obersten Leitung formal akzeptiert werden.

5. Behandlungsoptionen und Bezug zum SoA

Für Informationssicherheitsrisiken werden Massnahmen primär aus den ISO 27001 Annex-A-Controls abgeleitet; die Anwendbarkeit und Umsetzung wird im Statement of Applicability dokumentiert. Umsetzungsmassnahmen und Restrisiken werden im Risikoregister geführt; offene Massnahmen laufen ins Massnahmenregister.

6. Turnus

Risikobeurteilung mindestens jährlich sowie anlassbezogen (wesentliche Architektur-/Prozessänderung, schwerer Incident, neuer wesentlicher Lieferant). Ergebnisse fliessen ins Management-Review.