4.6 Risikoanalyse dokumentieren
Bei der Risikoanalyse wurde untersucht, welchen Gefährdungen die kritischen Geschäftsprozesse und Ressourcen ausgesetzt sind. Damit die dabei erzielten Ergebnisse zu späteren Zeitpunkten und von Dritten nachvollzogen werden können, sollte die Dokumentation der Risikoanalyse nicht nur die getroffenen Entscheidungen enthalten, sondern auch verdeutlichen, wie diese erzielt wurden. Folgende Struktur bietet sich damit an:
- Management-Übersicht (prägnante Darstellung der wesentlichen Befunde),
- angewendete Methode für die Risikoanalyse,
- Liste der Risiken und Risikogruppen,
- Ergebnisse der Risikobewertungen,
- gewählte Risikostrategie für die kritischen Prozesse sowie gegebenenfalls Alternativen dazu.
Der Notfallbeauftragte ist verantwortlich für die Anfertigung des Berichts. Das fertige Dokument muss der Leitung der Institution vorgelegt und von dieser genehmigt werden.
Beispiel
Bei der RECPLAST GmbH entschied sich der Notfallbeauftragte dafür, die Dokumentation der Risikoanalyse anhand der Geschäftsprozesse zu gliedern, deren Gefährdungen jeweils untersucht wurden. Anstelle einzelner Risiken wurden Risikogruppen dargestellt. Die folgende Tabelle zeigt Ausschnitte aus diesem Ergebnisdokument für die Geschäftsprozesse "IT-Wartung", "Server-Betrieb" und "Fertigung Endprodukte".
| Risikogruppe (-szenario) | Risiko-Bewertung (Erläuterung) | Gewählte Strategie (Alternativen) |
|---|---|---|
| Geschäftsprozess: IT-Wartung | ||
| Personalausfall | sehr hoch (Knowhow auf wenige Personen konzentriert) | Risikoreduktion (Risikoakzeptanz) |
| Verlust von Räumlichkeiten (z. B. durch Brand) | hoch (geringe Wahrscheinlichkeit, aber große Auswirkungen) | Risikoreduktion (Risikoakzeptanz) |
| usw. | usw. | usw. |
| Geschäftsprozess: Fertigung Endprodukte | ||
| Personalausfall | mittel (mittlere Personalausfälle können verkraftet werden) | Risikoakzeptanz (ggf. auch Risikoreduktion) |
| Zerstörung des Produktionsgebäudes | sehr hoch (mittlere Wahrscheinlichkeit, aber sehr hohe Auswirkungen) | Risikotransfer (Risikoreduktion kann überlegt werden) |
| Erdbeben | gering | Risikoakzeptanz |
| usw. | usw. | usw. |
| Geschäftsprozess: Server-Betrieb | ||
| Verlust wichtiger Hardware | mittel (Ersatzsysteme können schnell beschafft werden) | Risikoreduktion (Risikoakzeptanz) |
| Verlust des Serverraums (z. B. durch Brand) | hoch (geringe Wahrscheinlichkeit, aber große Auswirkungen) | Risikoreduktion (ggf. auch Risikotransfer oder Risikoakzeptanz) |
| Hacker | mittel (die Bewertung berücksichtigt bereits vorgenommene Absicherungen, ohne die das Risiko sehr hoch wäre) | Risikoreduktion (Risikoakzeptanz) |
| usw. | usw. | usw. |
- Kurz-URL:
- https://www.bsi.bund.de/dok/6611136