61 lines
2.7 KiB
Markdown
61 lines
2.7 KiB
Markdown
<!-- docId: IMS-06-01 -->
|
|
<!-- status: entwurf -->
|
|
<!-- version: 0.1 -->
|
|
<!-- owner: Patrick Motsch -->
|
|
<!-- approver: Geschäftsführung PowerOn AG -->
|
|
<!-- approvedDate: -->
|
|
<!-- nextReview: 2027-06-03 -->
|
|
<!-- classification: intern -->
|
|
<!-- isoRefs: 27001:6.1.2,6.1.3,8.2,8.3; 9001:6.1 -->
|
|
|
|
# Risikomanagement-Methodik
|
|
|
|
**Dokumenttyp:** Verfahren (Pflichtdokument ISO 27001 6.1.2)
|
|
**Geltungsbereich:** Informationssicherheits- und Qualitätsrisiken im IMS-Scope
|
|
|
|
## 1. Zweck
|
|
|
|
Dieses Verfahren legt fest, wie PowerOn Risiken und Chancen identifiziert, bewertet, behandelt und überwacht -- für ISO 27001 (Informationssicherheitsrisiken) und ISO 9001 (Risiken/Chancen für die Prozess- und Produktqualität).
|
|
|
|
## 2. Vorgehen
|
|
|
|
```mermaid
|
|
flowchart LR
|
|
id["1 Identifikation (Assets, Bedrohungen, Schwachstellen, Prozessrisiken)"] --> an["2 Analyse (Eintritt x Auswirkung)"]
|
|
an --> ev["3 Bewertung gegen Akzeptanzkriterien"]
|
|
ev --> tr["4 Behandlung (vermeiden/vermindern/übertragen/akzeptieren)"]
|
|
tr --> mo["5 Überwachung & Review"]
|
|
mo --> id
|
|
```
|
|
|
|
## 3. Bewertungsskala
|
|
|
|
**Eintrittswahrscheinlichkeit (W)** und **Auswirkung (A)** je 1-4:
|
|
|
|
| Stufe | W (Wahrscheinlichkeit) | A (Auswirkung) |
|
|
|---|---|---|
|
|
| 1 | selten (< 1x/Jahr) | gering (kaum spuerbar) |
|
|
| 2 | möglich | spuerbar (begrenzt, intern) |
|
|
| 3 | wahrscheinlich | erheblich (Kunde/Daten betroffen) |
|
|
| 4 | sehr wahrscheinlich (laufend) | kritisch (Datenverlust, Ausfall, Rechtsbruch) |
|
|
|
|
**Risikowert = W x A** (1-16).
|
|
|
|
| Risikowert | Klasse | Vorgabe |
|
|
|---|---|---|
|
|
| 1-3 | niedrig | akzeptieren, beobachten |
|
|
| 4-8 | mittel | Behandlung planen, terminiert |
|
|
| 9-12 | hoch | Behandlung priorisiert, zeitnah |
|
|
| 13-16 | sehr hoch | sofortige Massnahmen, Leitung informieren |
|
|
|
|
## 4. Risikoakzeptanzkriterium
|
|
|
|
Risiken der Klasse **niedrig** können ohne weitere Massnahme akzeptiert werden. Ab **mittel** ist eine dokumentierte Behandlung mit Owner und Termin erforderlich. Restrisiken ab **hoch** müssen von der obersten Leitung formal akzeptiert werden.
|
|
|
|
## 5. Behandlungsoptionen und Bezug zum SoA
|
|
|
|
Für Informationssicherheitsrisiken werden Massnahmen primär aus den **ISO 27001 Annex-A-Controls** abgeleitet; die Anwendbarkeit und Umsetzung wird im [Statement of Applicability](statement-of-applicability-soa.md) dokumentiert. Umsetzungsmassnahmen und Restrisiken werden im [Risikoregister](risikoregister.md) geführt; offene Massnahmen laufen ins [Massnahmenregister](../07_verbesserung/massnahmen-register.md).
|
|
|
|
## 6. Turnus
|
|
|
|
Risikobeurteilung mindestens **jährlich** sowie **anlassbezogen** (wesentliche Architektur-/Prozessänderung, schwerer Incident, neuer wesentlicher Lieferant). Ergebnisse fliessen ins [Management-Review](../06_bewertung/management-review.md).
|