Bevor Sie mit der Durchführung von Risikoanalysen beginnen, sollte die Leitung Ihrer Institution grundlegende Aspekte hierfür in einer Richtlinie zum Umgang mit Risiken festlegen:

• Unter welchen Voraussetzungen ist eine Risikoanalyse erforderlich?
• Mit welchem Verfahren werden Risiken identifiziert, eingeschätzt, bewertet und behandelt und wie ist dieses Verfahren an die Gegebenheiten der Institution angepasst und in den Sicherheitsprozess integriert?
• Welche Organisationseinheiten sind für die verschiedenen Teilaufgaben des Risikomanagements zuständig?
• Wie sind die Berichtspflichten geregelt?
• Welche Kriterien müssen erfüllt sein, damit Risiken akzeptiert werden?
• In welchen zeitlichen Intervallen und bei welchen Ereignissen müssen Risikoanalysen aktualisiert werden?

Diese Richtlinie und die zugehörigen organisatorischen Umsetzungen sollten regelmäßig auf ihre Aktualität und Angemessenheit geprüft werden.

Beispiel: Risikomanagement bei der RECPLAST GmbH

In der RECPLAST GmbH wurde beschlossen, das Risikomanagement gemäß IT-Grundschutz auszurichten und eine Sicherheitskonzeption gemäß Standard-Absicherung zu entwickeln. Für Objekte mit normalem Schutzbedarf erfolgt die Risikobehandlung mithilfe der Basis- und Standard-Anforderungen des IT-Grundschutz-Kompendiums. Als Methode für unter Umständen erforderliche Risikoanalysen wurde der BSI-Standard 200-3 festgelegt. In einer Richtlinie zur Behandlung von Risiken wurde ferner formuliert, dass Risiken, die aus der Nichterfüllung von Basis-Anforderungen folgen, nicht akzeptiert werden können. Risiken sollen darüber hinaus unter Betrachtung der Kosten möglicher Maßnahmen und ihres Beitrags zur Risikominimierung behandelt werden.

Die Verantwortlichkeit für die Durchführung der Risikoanalyse obliegt dem ISB, der hierfür spezialisierte Teams bildet. Deren Zusammensetzung hängt vom jeweiligen Sachverhalt ab: Anwendungsverantwortliche wirken bei der Bewertung möglicher Schadensfolgen mit; erfordert die Bewertung der Risiken einen hohen technischen Sachverstand, werden kompetente Mitarbeiter der IT-Abteilung beteiligt.

Die durchgeführten Risikoanalysen werden dokumentiert, die Ergebnisse und die Vorschläge zur Risikobehandlung der Geschäftsführung berichtet und mit ihr abgestimmt. Aktualität und Angemessenheit der Risikoanalysen sollen jährlich geprüft werden.

Wie sieht es in Ihrem Unternehmen oder Ihrer Behörde aus: Gibt es einen festgelegten Prozess zur Identifikation, Bewertung und Behandlung von Informationssicherheitsrisiken? Werden bei Ihnen Risikoanalysen durchgeführt und falls ja, mit welchem Verfahren? Wer ist für die Durchführung der Analysen verantwortlich? Wer erfährt die Ergebnisse und wie werden Konsequenzen gezogen?