IT-Risikomanagement wird durch eine Reihe internationaler Normen geregelt. ISO 27005, ISO 31000 und branchenspezifische Standards wie DORA geben den Rahmen vor. Dieser Artikel erklärt die wichtigsten Normen und ihre Anwendungsbereiche.
Was ist ISO/IEC 27005
ISO/IEC 27005 ist die Norm für Informationssicherheits-Risikomanagement. Sie unterstützt die Implementierung von ISO 27001 durch detaillierte Guidance für Risikobeurteilung und -behandlung. Aktuelle Version: 2022. Enthält: Risikomanagementprozess, Methoden für Risikoidentifikation und -bewertung, Risikoakzeptanzkriterien.
Was ist ISO 31000 und wie verhält es sich zu ISO 27005
ISO 31000 ist der übergeordnete allgemeine Risikomanagement-Standard. Er definiert Prinzipien, Rahmenwerk und Prozess für Risikomanagement jeder Art. ISO 27005 ist die informationssicherheitsspezifische Anwendung von ISO 31000. Wer ISO 27005 umsetzt, folgt automatisch ISO 31000.
Was fordert DORA für Risikomanagement
DORA (Digital Operational Resilience Act): für Finanzsektor. Art. 6–16: umfassendes IKT-Risikomanagement-Framework. Anforderungen: Identifikation aller IKT-Assets und deren Risiken, regelmäßige Risikobewertungen, Resilienzstrategien, Drittparteienrisiken (Art. 28–44), jährliche Überprüfung. Strengste Risikomanagement-Anforderungen in EU.
Was sind OCTAVE und FAIR
OCTAVE (Operationally Critical Threat, Asset, and Vulnerability Evaluation): Methode für organisationszentriertes Risikomanagement. Gut für KMU. Kostenlos (Carnegie Mellon). FAIR (Factor Analysis of Information Risk): quantitatives Modell, berechnet Risiko in Geldwerten. Ideal wenn Sicherheitsinvestitionen monetär begründet werden müssen.
Welche Norm ist für welches Unternehmen empfehlenswert
Entscheidungshilfe: ISO 27001/27005 → Privatwirtschaft allgemein (Goldstandard). BSI IT-Grundschutz → Behörden, KRITIS, stark regulierte deutsche Unternehmen. DORA → Finanzsektor. IEC 62443 → Industrie/OT. NIST CSF → international tätige Unternehmen, US-Geschäftsbeziehungen. Kombination möglich und oft sinnvoll.
✓ Checkliste: Welche Normen gelten für IT-Risikomanagement?
- Verantwortlichkeiten klar definiert
- Dokumentation vollständig und aktuell
- Risikoanalyse durchgeführt
- Maßnahmen priorisiert und umgesetzt
- Mitarbeiter geschult
- Regelmäßige Überprüfung geplant
- Management informiert und eingebunden
- Compliance-Anforderungen erfüllt
- Technische Maßnahmen implementiert
- Auditierbarkeit sichergestellt
Fazit
Das Thema Welche Normen gelten für IT-Risikomanagement? ist für moderne Unternehmen unverzichtbar. Es schützt vor Risiken, erfüllt regulatorische Anforderungen und schafft Vertrauen bei Kunden und Partnern. APASEC unterstützt Sie dabei — von der ersten Analyse bis zur nachhaltigen Umsetzung.
APASEC unterstützt Sie bei der professionellen Umsetzung — praxisnah und auf Ihr Unternehmen zugeschnitten. Jetzt unverbindlich anfragen →
Häufige Fragen (FAQ)
ISO/IEC 27005 ist die Norm für Informationssicherheits-Risikomanagement. Sie unterstützt die Implementierung von ISO 27001 durch detaillierte Guidance für Risikobeurteilung und -behandlung. Aktuelle Version: 2022. Enthält: Risikomanagementprozess, Methoden für Risikoidentifikation und -bewertung, Risikoakzeptanzkriterien.
ISO 31000 ist der übergeordnete allgemeine Risikomanagement-Standard. Er definiert Prinzipien, Rahmenwerk und Prozess für Risikomanagement jeder Art. ISO 27005 ist die informationssicherheitsspezifische Anwendung von ISO 31000. Wer ISO 27005 umsetzt, folgt automatisch ISO 31000.
DORA (Digital Operational Resilience Act): für Finanzsektor. Art. 6–16: umfassendes IKT-Risikomanagement-Framework. Anforderungen: Identifikation aller IKT-Assets und deren Risiken, regelmäßige Risikobewertungen, Resilienzstrategien, Drittparteienrisiken (Art. 28–44), jährliche Überprüfung. Strengste Risikomanagement-Anforderungen in EU.
OCTAVE (Operationally Critical Threat, Asset, and Vulnerability Evaluation): Methode für organisationszentriertes Risikomanagement. Gut für KMU. Kostenlos (Carnegie Mellon). FAIR (Factor Analysis of Information Risk): quantitatives Modell, berechnet Risiko in Geldwerten. Ideal wenn Sicherheitsinvestitionen monetär begründet werden müssen.
Entscheidungshilfe: ISO 27001/27005 → Privatwirtschaft allgemein (Goldstandard). BSI IT-Grundschutz → Behörden, KRITIS, stark regulierte deutsche Unternehmen. DORA → Finanzsektor. IEC 62443 → Industrie/OT. NIST CSF → international tätige Unternehmen, US-Geschäftsbeziehungen. Kombination möglich und oft sinnvoll.