IT Risikomanagement

Mit der Auswahl des Risikomoduls im Menü der Software QSEC werden die Funktionen des Risikomanagements aktiviert. Das komplette IT Risikomanagement wird hier nach den Anforderungen der ISO 27005 und/oder BSI durchgeführt. Die potenziellen Schwachstellen und Bedrohungen der Asset-Gruppen im entsprechendem Untersuchungsbereich (Scope), bestehend aus den relevanten Geschäftseinheiten und den zugehörigen Assets und Normen, werden ermittelt.

Die in diesem Modul implementierte operative Risikomethode arbeitet nach den Anforderungen der Norm ISO/IEC 27005 oder nach den IT-Grundschutzanforderungen (200-3). Die Berechnungsmethoden und Einstufungstabellen sind vordefiniert und können individuell an die jeweiligen Anforderungen angepasst werden. Die hinterlegten Bedrohungs- und Schwachstellenkataloge (Gefährdungen- und Bausteinkatalogen) werden den vorhandenen Asset-Typen (Infrastruktur, IT-Hardware, IT-Software, Cloud etc.) zugeordnet und bewertet. Da die Einschätzung vom Schutzbedarf (Asset-Gruppen-Wert) ein unternehmensindividueller Wert ist, können die Kriterien selbstverständlich flexibel konfiguriert werden. Eine Anpassung ist über das Administrationstool jederzeit möglich.

Bei der Risikobewertung werden die Maßnahmen zur Risikoreduzierung und die verbundenen Vorfälle (Security Incidents) angezeigt. Es werden u.a. nachfolgende Werte berechnet:

  • Schutzbedarf (Asset-Gruppen-Wert),
  • Eintrittswahrscheinlichkeit,
  • Risikowert in EURO,
  • Risikostufe,
  • Nettorisiko.

Einer der großen Vorteile der IT-Risikomanagement-Bewertung nach der Methodik der ISO 27005 ist die Ausrichtung an den Geschäftsprozessen des Unternehmens. Die in QSEC gespeicherten Geschäftsprozesse werden auf Ihre Kritikalität hin bewertet und mit den benötigten Asset-Gruppen (Gebäude, IT-Infrastruktur etc.) verknüpft.

Identifizierte kritische Asset-Gruppen werden auf

  • Verfügbarkeit,
  • Integrität,
  • Vertraulichkeit,
  • Authentizität,
  • Datenschutzrelevanz und
  • ihren finanziellen Wert

analysiert und der Schutzbedarf bestimmt. Somit wird die Ableitung von konkreten Maßnahmenplänen zur Schwachstellenreduzierung möglich (Risikobehandlungsplanung).

 

IT-Risikomanagement-Übersicht

QSEC®: Tabellarische IT-Risikomanagement-Übersicht sortiert nach Status

IT-Risiko-Übersicht

QSEC®: hierarchische Geschäftsprozessansicht mit der IT-Risiko-Übersicht nach den verbundenen Assetgruppen

Risikomatrix

QSEC®: Risikomatrix der Risikostufen der betrachteten Assetgruppen

Risikoentwicklung

QSEC®: Risikoentwicklung im IT-Risikomanagement