Im Management-Review legt der ISMS-Verantwortliche das Risikoregister vor: 47 Risiken, Eintrittswahrscheinlichkeit und Schadensausmass je auf einer 1–5-Skala, Risiko-Eigentümer benannt, Behandlungs-Maßnahmen priorisiert. Die Geschäftsführung diskutiert den Top-10-Auszug und entscheidet über das Restrisiko-Akzeptanzlevel. Ohne strukturierte Methodik wird aus dieser Sitzung schnell eine Bauchgefühl-Diskussion ohne Wiederholbarkeit.
ISO/IEC 27005:2022 liefert die Methodik für Informationssicherheits-Risikomanagement im Kontext eines ISMS nach ISO 27001. Der Standard ist als Leitfaden formuliert und beschreibt den vollständigen Risikomanagement-Prozess — von der Etablierung des Kontexts über die Risikobeurteilung bis zur kontinuierlichen Überwachung.
Was umfasst der Standard?
ISO 27005 strukturiert den Risikomanagement-Prozess in sechs Schritte und einen iterativen Zyklus. Die Logik orientiert sich an ISO 31000, fokussiert aber auf Informationssicherheits-Risiken.
Der Risikomanagement-Prozess
- Kontext-Etablierung: Geltungsbereich, Kriterien für Risikoakzeptanz, Methodenwahl, Beteiligung der Stakeholder.
- Risiko-Identifikation: Welche Risikoquellen, Bedrohungen und Schwachstellen existieren? Welche Werte (Assets) sind betroffen, welche Folgen sind möglich?
- Risiko-Analyse: Bewertung von Eintrittswahrscheinlichkeit und Schadensausmass, qualitativ oder quantitativ.
- Risiko-Bewertung: Vergleich der analysierten Risiken mit den Akzeptanz-Kriterien, Priorisierung.
- Risiko-Behandlung: Auswahl einer Behandlungs-Option (Vermeiden, Vermindern, Übertragen, Akzeptieren), Auswahl konkreter Kontrollen — typisch aus Annex A der ISO 27001.
- Akzeptanz des Restrisikos: Dokumentierte Entscheidung der zuständigen Leitung.
Begleitend dauerhaft:
- Kommunikation und Konsultation der Stakeholder
- Überwachung und Überprüfung der Risiken und der Wirksamkeit der Behandlung
Risiko-Identifikation: zwei Vorgehens-Modelle
ISO 27005:2022 nennt explizit zwei Ansätze, die sich auch kombinieren lassen:
- Ereignis-basiert: Ausgangspunkt sind plausible Schadensereignisse („Was wäre, wenn unser Webshop drei Tage offline ist?”). Top-down, gut für Geschäftsführung und Risiko-Workshops.
- Asset-basiert: Ausgangspunkt sind die Werte (Asset-Inventar), für die Bedrohungen und Schwachstellen identifiziert werden. Bottom-up, gut für IT-Teams und detaillierte Risikoregister.
In der Praxis arbeiten reife Organisationen häufig mit einer Mischform: Ereignis-basierte Top-Risiken aus Workshops werden mit Asset-basierten Detail-Risiken im Register ergänzt.
Risiko-Behandlung und Statement of Applicability
Die ausgewählten Kontrollen aus der Risiko-Behandlung münden in das Statement of Applicability nach ISO 27001 Klausel 6.1.3. ISO 27005 beschreibt den Mechanismus:
- Pro Risiko wird mindestens eine Behandlungs-Option gewählt.
- Bei „Vermindern” werden konkrete Kontrollen zugewiesen — typisch aus Annex A der ISO 27001.
- Das SoA listet alle Annex-A-Kontrollen mit Status (anwendbar oder nicht) und Begründung.
- Der Risiko-Behandlungsplan dokumentiert Maßnahmen, Verantwortliche, Termine.
Verhältnis zu ISO 27001
ISO 27005 ist nicht zertifizierbar und ergänzt ISO 27001 um Methodik. ISO 27001 verlangt einen Risikomanagement-Prozess, schreibt aber keine Methode vor. Wer ISO 27005 nutzt, dokumentiert in der Risikomanagement-Richtlinie die Anlehnung an den Standard und folgt dessen Logik. Im Audit fragt der Auditor typischerweise:
- Wie ist der Risikomanagement-Prozess dokumentiert?
- Welche Risikobewertungs-Kriterien wurden festgelegt?
- Wie wurde die Risiko-Identifikation durchgeführt? Liegt ein vollständiges Risikoregister vor?
- Wie sind Risiko-Eigentümer benannt?
- Wie ist die Restrisiko-Akzeptanz dokumentiert (idealerweise mit Datum und Unterschrift)?
Mapping zu anderen Standards
| Standard | Verhältnis zu ISO 27005 |
|---|---|
| ISO/IEC 27001:2022 | Liefert die Anforderung an einen Risikomanagement-Prozess; ISO 27005 die Methodik |
| ISO 31000:2018 | Allgemeiner Risikomanagement-Standard; ISO 27005 nutzt dessen Begriffe |
| NIST SP 800-30 | US-Pendant für Risk Assessment; vergleichbarer Prozess, andere Skalen |
| FAIR (Factor Analysis of Information Risk) | Quantitative Methodik; kompatibel mit ISO 27005 |
| OCTAVE Allegro | Asset-zentrierte Methodik; alternativer Ansatz mit ähnlichem Ergebnis |
| BSI Standard 200-3 | Risikoanalyse für IT-Grundschutz; eigene Methodik mit Bausteinen |
Implementierungs-Aufwand
Erstmalige Risikobeurteilung (KMU): 5–15 Tage. Beinhaltet Asset-Identifikation, Workshops mit Fachbereichen, Bewertung, Behandlungsplan. Bei stark verteilten oder komplexen Geschäftsprozessen entsprechend mehr.
Jährliche Aktualisierung: 1–3 Tage konzentriertes Arbeiten plus laufende Pflege bei wesentlichen Änderungen (neue Systeme, Auslagerungen, größere Vorfälle).
Risiko-Workshops mit der Geschäftsführung: 2–4 Stunden vor jedem Management-Review, häufig halbjährlich.
Werkzeug-Entscheidung: Excel funktioniert in den ersten 1–2 Jahren, wird ab 100+ Risiken oder mehreren Geschäftsbereichen unhandlich. Ab dort lohnt sich ein dedizierter Risikoregister mit Verknüpfung zu Assets, Kontrollen und Vorfällen.
Verwandte Standards
- ISO/IEC 27001: Der ISMS-Hauptstandard, dessen Klausel 6.1 das Risikomanagement verlangt.
- ISO/IEC 27002: Liefert die Kontroll-Texte, die in der Risiko-Behandlung ausgewählt werden.
- ISO 22301: Business Continuity Management mit eigener Business-Impact-Analyse, ergänzt klassisches Risikomanagement.
- BSI IT-Grundschutz: Mit BSI Standard 200-3 eigene Risikoanalyse-Methodik.
Quellen
- ISO/IEC 27005:2022 (ISO Online Browsing Platform) — offizielle Norm-Information
- ISO 31000:2018 — übergeordneter Risikomanagement-Standard
- Beuth Verlag — deutsche Übersetzung als DIN EN ISO/IEC 27005 (kostenpflichtig)
- NIST SP 800-30 Rev. 1 — Guide for Conducting Risk Assessments (kostenfrei)