Das zuständige nationale Normungsgremium ist der Gemeinschaftsarbeitsausschuss NA 043-04-13 GA "DIN/DKE Gemeinschaftsgremium Cybersecurity" im DIN-Normenausschuss Informationstechnik und Anwendungen (NIA)

Dieses Dokument enthält einen Leitfaden, der Organisationen dabei helfen soll:

• die Anforderungen der ISO/IEC 27001 bzw. DIN EN ISO/IEC 27001 in Bezug auf Aktionen zur Bewältigung von Informationssicherheitsrisiken zu erfüllen;
• Maßnahmen zur Handhabung von Informationssicherheitsrisiken, insbesondere zur Risikobeurteilung und -behandlung im Bereich der Informationssicherheit, durchzuführen.

Inhalt

Europäisches Vorwort
Vorwort
Einleitung

1 Anwendungsbereich

2 Normative Verweisungen

3 Begriffe

3.1 Begriffe im Zusammenhang mit Informationssicherheitsrisiken
3.2 Begriffe im Zusammenhang mit der Handhabung von Informationssicherheitsrisiken

4 Aufbau dieses Dokuments

5 Handhabung von Informationssicherheitsrisiken

5.1 Prozess zur Handhabung von Informationssicherheitsrisiken
5.2 Zyklen des Informationssicherheitsrisikomanagements

6 Kontextfestlegung

6.1 Organisatorische Aspekte
6.2 Identifizierung grundlegender Anforderungen von interessierten Parteien
6.3 Anwendung der Risikobeurteilung
6.4 Festlegung und Aufrechterhaltung der Informationssicherheitsrisikokriterien
6.4.1 Allgemeines
6.4.2 Risikoakzeptanzkriterien
6.4.3 Kriterien für die Durchführung von Informationssicherheitsrisikobeurteilungen
6.5 Wahl eines angemessenen Verfahrens

7 Prozess zur Beurteilung von Informationssicherheitsrisiken

7.1 Allgemeines
7.2 Identifizierung von Informationssicherheitsrisiken
7.2.1 Identifizierung und Beschreibung von Informationssicherheitsrisiken
7.2.2 Identifizierung von Risikoeigentümern
7.3 Analyse von Informationssicherheitsrisiken
7.3.1 Allgemeines
7.3.2 Beurteilung potentieller Folgen
7.3.3 Beurteilung der Wahrscheinlichkeit
7.3.4 Bestimmung der Risikoniveaus
7.4 Bewertung der Informationssicherheitsrisiken
7.4.1 Vergleich der Ergebnisse der Risikoanalyse mit den Risikokriterien
7.4.2 Priorisierung der analysierten Risiken für die Risikobehandlung

8 Prozess zur Informationssicherheitsrisikobehandlung

8.1 Allgemeines
8.2 Auswahl geeigneter Optionen zur Behandlung von Informationssicherheitsrisiken
8.3 Festlegung aller Maßnahmen, die zur Umsetzung der gewählten Optionen für die Informationssicherheitsrisikobehandlung erforderlich sind
8.4 Vergleich der festgelegten Maßnahmen mit denen in ISO/IEC 27001:2022, Anhang A
8.5 Erstellung einer Erklärung zur Anwendbarkeit
8.6 Behandlungsplan für Informationssicherheitsrisiken
8.6.1 Ausarbeitung des Risikobehandlungsplans
8.6.2 Zustimmung durch die Risikoeigentümer
8.6.3 Akzeptanz der Restrisiken für die Informationssicherheit

9 Betrieb

9.1 Durchführung des Prozesses zur Risikobeurteilung der Informationssicherheit
9.2 Durchführung des Prozesses zur Risikobehandlung der Informationssicherheit

10 Nutzung verbundener ISMS‐Prozesse

10.1 Kontext der Organisation
10.2 Führung und Verpflichtung
10.3 Kommunikation und Konsultation
10.4 Dokumentierte Informationen
10.4.1 Allgemeines
10.4.2 Dokumentierte Informationen über Prozesse
10.4.3 Dokumentierte Informationen über Ergebnisse
10.5 Überwachen und Überprüfen
10.5.1 Allgemeines
10.5.2 Überwachung und Überprüfung der die Risiken beeinflussenden Faktoren
10.6 Managementbewertung
10.7 Korrekturmaßnahme
10.8 Fortlaufende Verbesserung

Anhang A (informativ) - Beispiele für Techniken zur Unterstützung des Risikobeurteilungsprozesses

A.1 Risikokriterien für die Informationssicherheit

A.1.1 Kriterien im Zusammenhang mit der Risikobeurteilung
A.1.2 Risikoakzeptanzkriterien

A.2 Praktische Verfahren

A.2.1 Risikokomponenten für die Informationssicherheit
A.2.2 Vermögenswerte
A.2.3 Risikoquellen und gewünschter Endzustand
A.2.4 Ereignisbasierter Ansatz
A.2.5 Auf Vermögenswerten basierender Ansatz
A.2.6 Beispiele für Szenarien, die in beiden Ansätzen anwendbar sind
A.2.7 Überwachung risikobehafteter Ereignisse

Literaturhinweise

Bilder

Bild 1 — Prozess zur Handhabung von Informationssicherheitsrisiken
Bild A.1 — Komponenten für die Risikobeurteilung der Informationssicherheit
Bild A.2 — Beispiel eines Diagramms der Abhängigkeiten von Vermögenswerten
Bild A.3 — Identifizierung der interessierten Parteien des Ökosystems
Bild A.4 — Risikobeurteilung anhand von Risikoszenarien
Bild A.5 — Beispiel für die Anwendung des SFDT‐Modells

Tabellen

Tabelle A.1 — Beispiel einer Folgenskala
Tabelle A.2 — Beispiel einer Wahrscheinlichkeitsskala
Tabelle A.3 — Beispiel für einen qualitativen Ansatz bei den Risikokriterien
Tabelle A.4 — Beispiel einer logarithmischen Wahrscheinlichkeitsskala
Tabelle A.5 — Beispiel einer logarithmischen Folgenskala
Tabelle A.6 — Beispiel für eine Bewertungsskala in Kombination mit einer Drei‐Farben‐Risikomatrix
Tabelle A.7 — Beispiele und übliche Angriffsmethoden
Tabelle A.8 — Beispielhafte Klassifizierung von Motivationen, die den DES zum Ausdruck bringen
Tabelle A.9 — Beispiele für Zielvorgaben
Tabelle A.10 — Beispiele für typische Bedrohungen
Tabelle A.11 — Beispiele für typische Schwachstellen
Tabelle A.12 — Beispiele für Risikoszenarien in beiden Ansätzen
Tabelle A.13 — Beispiel für ein Risikoszenario und eine Überwachung risikobehafteter Ereignisse