ISO 27001 Anforderung 8.3 - Informationssicherheitsrisikobehandlung

Was beinhaltet Abschnitt 8.3?

Gemäß Abschnitt 8.3 besteht die Anforderung an die Organisation, den Plan zur Behandlung von Informationssicherheitsrisiken umzusetzen und dokumentierte Informationen über die Ergebnisse dieser Risikobehandlung aufzubewahren. Bei dieser Anforderung geht es daher darum, sicherzustellen, dass die in Abschnitt 6.1 „Maßnahmen zur Bewältigung von Risiken und Chancen“ beschriebenen Risikobehandlungsprozesse tatsächlich stattfinden. Dazu sollten Belege und klare Prüfpfade von Überprüfungen und Maßnahmen gehören, die die Bewegungen des Risikos im Laufe der Zeit aufzeigen, wenn Ergebnisse von Investitionen sichtbar werden (und nicht zuletzt auch der Organisation und dem Prüfer die Gewissheit geben, dass die Risikobehandlungen ihre Ziele erreichen). Wie andere Teile von Abschnitt 8 ist dies bereits erreicht, wenn die Organisation das gesamte ISMS mit dem in Abschnitt 7.5 beschriebenen Ansatz angegangen ist.

Erfüllung der Anforderungen für 8.3

Um die Anforderungen für 8.3 zu erfüllen, müssen Sie nachweisen können, dass der in Abschnitt 6.1 beschriebene Risikobehandlungsplan umgesetzt wird.

Wie in Abschnitt 6.1 ausführlicher beschrieben, muss dies die Beweise für die Behandlung umfassen. Vereinfacht ausgedrückt kann „Behandlung“ eine Arbeit sein, die Sie intern durchführen, um das Risiko zu kontrollieren und zu tolerieren, oder es könnte sich um Schritte handeln, die Sie unternehmen, um das Risiko zu übertragen (z. B. auf einen Lieferanten), oder es könnte darin bestehen, ein Risiko vollständig zu beseitigen. Die zur Bewältigung der Risiken ausgewählten Kontrollen müssen die in Anhang A der Norm beschriebenen Kontrollen berücksichtigen, sind aber nicht darauf beschränkt. Diese Anhang-A-Kontrollen bilden die Anwendbarkeitserklärung (SoA), die alle Kontrollen beschreibt und erklärt, warum sie von der Organisation implementiert wurden oder nicht.

So erstellen Sie eine Risikobehandlung und verwalten Ihren Risikobehandlungsprozess

Die Risikobehandlung sollte neben der Risikobewertung berücksichtigt werden und letztendlich auch in die SoA einfließen.

In der Regel stellen Unternehmen fest, dass das Management und der Nachweis von Risiken der komplexeste Teil von ISO 27001 sind. Lesen Sie unseren aktuellen Artikel „Information Security Risk Management Explained“, um das Risikomanagement ausführlicher zu untersuchen. Es kann Tage, Wochen oder Monate dauern, bis eine vollständig betriebsfähige Risikolösung etabliert ist.

Diese Bemühungen erfordern die Festlegung einer konformen Risikobewertungsmethodik, einer Methode zur Dokumentation und Erfassung der Beweise für den gesamten Sicherheitsrisikomanagementprozess, sowie deren Durchlaufen für den ersten vollständigen Satz von Risiken und Behandlungen.

Die Softwarelösung ISMS.online kann diese Zeit verkürzen und mit den enthaltenen Risikomanagement-Tools und -Methoden eine enorme Menge Arbeit im Prozess einsparen. ISMS.online bietet außerdem:

• Eine Musterrichtlinie für Abschnitt 8 von ISO 27001:2013
• Eine Musterrichtlinie und -methodik für Abschnitt 6.1, die einen umfassenden, aber pragmatischen Ansatz zur Risikoidentifizierung, -analyse und -behandlung sowie zur laufenden Überwachung und Überprüfung umfasst
• Einfach zu verwendende Risikomanagement-Tools, wie in der oben genannten Richtlinie und Methodik beschrieben, die den Behandlungsplan erstellen und pflegen
• Eine ganze Reihe beliebter Risiken sowie empfohlene Anhang-A-Kontrollen zur Verknüpfung und Behandlung der damit verbundenen Risiken
• Arbeitsbereiche zur Erfassung der gesamten geleisteten Arbeit ermöglichen die Aufbewahrung der dokumentierten Informationen innerhalb der Tools und bieten Links zurück zu den Kontrollen und Richtlinien, die zur Bewältigung der Risiken und Probleme verwendet werden
• Dynamisch erstellte Anwendbarkeitserklärung mit Rückverknüpfung zu den Anhang-A-Kontrollen
• Ein zentraler Ort zur sicheren Verwaltung des gesamten ISMS

Lassen Sie sich mit ISMS.online bis zu 5x schneller zertifizieren

Compliance muss nicht kompliziert sein – ISMS.online soll Ihnen dabei helfen, die ISO 27001-Zertifizierung schnell und kostengünstig zu erreichen, ohne dass eine Schulung erforderlich ist.
Wir haben den ISO 27001-Prozess mit unserer Assured Results Method, einem Vorsprung von 80 %, Ihrem eigenen virtuellen Coach rund um die Uhr, einfachem Onboarding und Expertensupport optimiert.

Buchen Sie eine Plattformdemo, um zu sehen, wie ISMS.online Ihrem Unternehmen helfen kann