Risikobeurteilung / Risikobewertung

Die Risikobeurteilung (auch Risikobewertung) umfasst nach ISO 27005 drei Schritte: Risikoidentifikation, Risikoanalyse und Risikoevaluation. Im ersten Schritt ermittelst Du Assets, Bedrohungen und Schwachstellen. Im zweiten Schritt bestimmst Du Eintrittswahrscheinlichkeit und Schadensausmaß. Im dritten Schritt vergleichst Du die ermittelten Risikostufen mit dem Risikoakzeptanzwert und priorisierst die Risiken. Die Risikobeurteilung wird mindestens jährlich durchgeführt oder anlassbezogen bei wesentlichen Änderungen. Ergebnisse fließen in den Risikobehandlungsplan ein.