3. Massnahmenidentifikation und -bewertung (Risk Treatment) Die erkannten und bewerteten Risiken werden nun einzeln behandelt und Massnahmen definiert. Je nach Art und Höhe des Risikos wird dieses einfach akzeptiert, umgangen oder auf Dritte übertragen. Eine Minderung der Risiken wird mit individuellen Massnahmen zu erreichen versucht.

4. Steuerung der Risikomassnahmen Hier kommen die in ISO 17799 aufgelisteten Controls zur Geltung. Es sind die eigentlichen Massnahmen und Steuerelemente, um Risiken zu mindern oder auszuschalten. Die Sammlung der Massnahmen (Controls/Baselines) ist zu individualisieren sowie um unternehmensspezifische zu erweitern. Auch können weitere Ansätze wie das IT-Grundschutzhandbuch herangezogen werden.

5. Statement of Applicability Die gewählten Massnahmen sind zu begründen und klar zu okumentieren.
Dies soll die Planung von Verbesserungen und von Korrekturmassnahmen innerhalb eines ISMS unterstützen und für die Überprüfung hilfreich sein.

6. Managementfreigabe/Zustimmung
Das Management muss seine Zustimmung zur Implementierung des ISMS geben. Die Autorisierung zur Umsetzung ist ein zentraler Erfolgsfaktor. Kernaussage Ein Informationssicherheitsmanagementsystem (ISMS) basiert letztendlich auf der Anwendung geeigneter
Risk Management-Methoden, die der Identifizierung von Bedrohungen und Schwachstellen, der Auswahl angemessener Massnahmen und somit der Reduzierung der Gefährdungen auf ein akzeptables Restrisiko dienen.
Die Kernfunktion zur Handhabung der IT-Risiken wird vom ISMS übernommen, welches – wenn es nach ISO 27001 aufgebaut ist – die Grundlage zur Identifikation und Beherrschung spezifischer IT-Risiken sowie zur Sicherstellung der benötigten Zuverlässigkeit von IT- und Telekommunikations-
Systemen bietet.
Wenn in einer Organisation eine richtig verstandene Information Security gemäss ISO 27001 umgesetzt und gepflegt wird, ist es meines Erachtens nicht notwendig, neben dem Risk Management (Marktrisiken, Finanzrisiken und Operationellen Risiken) ein separates IT Risk Management aufzubauen und zu betreiben, da ein richtig aufgebautes und betriebenes ISMS bereits den Regelkreis PDCA enthält. Es macht keinen Sinn, die ohnehin schon im ISMS integrierten Bereiche in eine separate Organisation wie das IT Risk Management auszulagern. Vielmehr sollte bei den Verantwortlichkeiten im Rahmen des ISMS eine Funktion Risk Manager definiert werden, der in engem Kontakt mit dem Operational Risk Management (ORM) steht, falls die Grösse der Unternehmung dies zulässt.

[Vorherige]  1 2 3 4 5 6 7 8 9 10  [Nächste]