ISMS-Risiken analysieren

Im Bereich Risikoanalyse sehen Sie alle IT-Systeme, die IS-relevant sind oder in denen IS-relevante Prozesse verknüpft sind. In den Eigenschaften eines IT-Systems bewerten Sie die Kritikalität auf verschiedenen Ebenen und verknüpfen sie mit einem Risiko oder einer Eigenschaftengruppe. In den Eigenschaften eines Risikos bewerten Sie das Bruttorisiko, das mit einem IS-relevanten IT-System verbunden ist. Das Bruttorisiko ist das Risiko bevor Sie die Maßnahme, um das Risiko zu minimieren, umgesetzt haben. Ihre Bewertung des Bruttorisikos erscheint dann in der Tabelle am jeweiligen Asset.

Anleitung - Kritikalität des Assets und Risiko festlegen:

  1. Selektieren Sie das IT-System in der Tabelle und öffnen Sie den Bereich ISMS in der Eigenschaften-Sidebar

    Tipp: Navigieren Sie per Doppelklick direkt zum IT-System und selektieren Sie den ISMS-Tab im Content-Bereich. In dieser Sicht werden die wichtigsten ISMS-relevanten Eigenschaften übersichtlich dargestellt. Die Eigenschaften können Sie dort ebenfalls über die Sidebar bearbeiten. Siehe hierzu ISMS-Ansicht der Assets.

  2. Begründen Sie die IS-Kritikalität des IS-relevanten IT-Systems

  3. Bewerten Sie die Kritikalität auf den Ebenen Vertraulichkeit, Integrität, Verfügbarkeit und Authentizität

  4. Wechseln Sie in den Eigenschaftenbereich Weitere Attribute und legen Sie das Risiko unter ISMS Risiken fest

    ODER

    Wechseln Sie in den Eigenschaftenbereich Weitere Attribute und verwenden Sie eine Eigenschaftengruppe

  5. Legen Sie je nach Bedarf die restlichen Eigenschaften des Risikos fest

    Siehe auch: Alle Eigenschaften zur Konfiguration eines Risikos sind unter Risiko anlegen beschrieben.

Anleitung - Bruttorisiko bewerten

  1. Selektieren Sie in der Spalte ISMS Risiko das Risiko, das Sie am jeweiligen Asset festgelegt haben

    Hinweis: Für Eigenschaftengruppen kann keine Risikobewertung durchgeführt werden. Um eine Risikobewertung durchzuführen, müssen Sie die Risiken innerhalb der Eigenschaftengruppe jeweils einzeln bewerten.

  2. Öffnen Sie den Bereich ISMS in der Eigenschaften-Sidebar

  3. Bewerten Sie die Risikoauswirkung vor den Maßnahmen auf den Ebenen Vertraulichkeit, Integrität, Verfügbarkeit und Authentizität

  4. Wechseln Sie in den Eigenschaftenbereich Brutto-Bewertung und legen Sie die Eintrittswahrscheinlichkeit (brutto) fest

Ergebnisse:

  • Nachdem Sie die Eintrittswahrscheinlichkeit und Risikoauswirkungen beim Bruttorisiko festgelegt haben, wird die Risikoklasse vor den Maßnahmen automatisch berechnet. Es gibt hierbei drei Risikoklassen:

    • Risikoklasse 1 (grün) ist die niedrigste Risikoklasse. Risiken der Klasse 1 vor Maßnahmen erscheinen nicht im Risikobehandlungsplan.

    • Risikoklasse 2 (gelb) ist die mittlere Risikoklasse. Risiken der Klasse 2 vor Maßnahmen erscheinen im Risikobehandlungsplan.

    • Risikoklasse 3 (rot) ist die höchste Risikoklasse. Risiken der Klasse 3 vor Maßnahmen erscheinen im Risikobehandlungsplan.

    Sie können die Risikoklasse z. B. in der Tabelle im Report Risikoliste sehen:

    Hinweis: Brutto- und Nettorisiken, die unvollständig oder gar nicht bewertet wurden, bekommen automatisch Risikoklasse 3.

  • Nachdem Sie die Eintrittswahrscheinlichkeit und Risikoauswirkungen beim Bruttorisiko festgelegt haben, wird das Risiko entsprechend in die Risiko-Heatmap vor den Maßnahmen übernommen.

    Siehe auch: Die Funktionsweise der Risiko-Heatmap ist unter Risiko-Matrix beschrieben.