Schritt 8 » Risikomanagement

Was ist in Schritt 8 umzusetzen?

In Schritt 8 steht das Risikomanagement im Mittelpunkt. Hierzu sind Regelungen zum Umgang mit Risiken, zur Risikobewertung, Risikobehandlung sowie Überwachung und Neubewertung notwendig, die in einer Richtlinie zusammengefasst werden.

Basierend auf dieser Richtlinie sind dann die Risikoermittlung, Risikobehandlung (Risikobehandlungsplan) und die Überwachung durchzuführen.

Wie unterstützt xmera Omnia?

Gefährdungskatalog

Basis für die Risikobeurteilungen in xmera Omnia sind Gefährdungen. Gefährdungen beschreiben verschiedene Bedrohungsarten und verknüpfen sie mit einer potentiellen Schwachstelle.

xmera Omnia bietet ein Importpaket des Gefährdungskataloges gemäß DIN ISO/IEC 27005 oder IT-Grundschutz an, das um individuelle Gefährdungen erweitert werden kann.

Jede Gefährdung kann verschiedenen Objektklassen zugeordnet werden. Über den Synchronisationsprozess werden die Gefährdungen dann einem Asset oder einer Assetgruppe zugeordnet.

Risikobewertung

Die Risikobewertung erfolgt auf Basis von zugeordneten Gefährdungen. Durch Festlegung der Eintrittswahrscheinlichkeit und der Schadensklasse wird über die Risikoakzeptanzmatrix ein resultierendes Risiko ermittelt.

Risikoakzeptanzmatrix

Für die Ermittlung des Risikoniveaus wird in xmera Omnia eine individuell konfigurierbare Risikoakzeptanzmatrix bereitgestellt, in der für jede Kombination aus Eintrittshäufigkeit und Schadensklasse ein Risikoniveau zugeordnet werden kann. In der Demo wird hierfür eine 4 x 4 Matrix verwendet, woraus sich 16 Kombinationen ergeben.

Da die Konfiguration der Risikoakzeptanzmatrix im Administrationsbereich vorgenommen werden muss, ist eine Anpassung im Rahmen der Demo nicht möglich.
Risikobehandlung

Die gewählte Risikobehandlungsoption und das sich daraus ergebende neue Risikoniveau lassen sich ebenfalls in der Risikobeurteilung abbilden.

Wird eine Maßnahme erforderlich, kann diese direkt erstellt und mit der Risikobeurteilung verknüpft werden.

Risikobehandlungsplan

Wird ein Risikoniveau durch eine Maßnahme reduziert oder vermieden, so kann die Maßnahmen als Unteraufgabe an die Gefährdung gekoppelt werden.

Alle Maßnahmen, die aus einer Risikobeurteilung erwachsen sind, können dann in einem Risikobehandlungsplan zusammengefasst werden. Der Risikobehandlungsplan zeigt alle Maßnahmen, die als Ziel haben, dass Schutzniveau auf ein akzeptables Maß zu bringen.

Wo finde ich Beispiele in der Demo?

Gefährdungskatalog

Risikobewertungen

Risikobehandlungsplan