Gefährdungsbeurteilung ist die systematische Identifikation und Bewertung von Bedrohungen und Schwachstellen, die Schaden an Informationswerten verursachen können. Sie bildet den Kern des Risikomanagementprozesses nach ISO 27005.
Der Prozess umfasst: Identifikation der zu schützenden Werte (Assets), Ermittlung relevanter Bedrohungen, Analyse vorhandener Schwachstellen und Bewertung der Eintrittswahrscheinlichkeit und des Schadensausmaßes. Das Ergebnis ist eine priorisierte Risikoliste, die als Grundlage für den Risikobehandlungsplan dient. Im ISMS wird die Gefährdungsbeurteilung regelmäßig wiederholt — mindestens jährlich und anlassbezogen bei wesentlichen Änderungen der IT-Landschaft oder Bedrohungslage.