Der Risikobehandlungsplan übersetzt die Ergebnisse deiner Risikoanalyse in konkrete Maßnahmen. Für jedes Risiko oberhalb der Akzeptanzschwelle dokumentiert er, was getan wird, wer verantwortlich ist und bis wann die Umsetzung abgeschlossen sein muss.
ISO 27001 fordert in Clause 6.1.3 einen Risikobehandlungsplan, der die gewählten Behandlungsoptionen, die zugehörigen Maßnahmen und die Genehmigung der Risikoeigentümer dokumentiert. Ohne diesen Plan bleibt die Risikoanalyse ein akademisches Dokument.
Was enthält die Vorlage?
Die CSV-Vorlage verbindet Risikoregister und operative Maßnahmenplanung. Die wichtigsten Spalten:
- Risiko-ID — Verknüpfung zum Risikoregister
- Behandlungsoption — mindern, vermeiden, übertragen oder akzeptieren
- Maßnahme(n) — konkrete Schritte zur Behandlung
- Zugehöriges Annex-A-Control — welche ISO-27001-Maßnahme wird umgesetzt?
- Verantwortliche Person und Frist — wer setzt um, bis wann?
- Umsetzungsstatus — geplant, in Umsetzung, abgeschlossen
- Restrisiko — das verbleibende Risiko nach Umsetzung der Maßnahme
So nutzt du den Plan
Direkt aus dem Risikoregister ableiten. Jedes Risiko, das über der Akzeptanzschwelle liegt, bekommt eine Behandlungsentscheidung. Für die Option „mindern” definierst du konkrete Maßnahmen — häufig sind das Annex-A-Controls aus ISO 27001. Die Zuordnung zwischen Risiko, Behandlungsoption und Maßnahme macht den Plan nachvollziehbar.
Umsetzung überwachen. Der Plan ist ein Projektmanagement-Dokument. Jede Maßnahme hat eine verantwortliche Person, eine Frist und einen Status. Im Management-Review berichtest du den Fortschritt — offene Maßnahmen mit überschrittener Frist sind ein typisches Audit-Finding.
Restrisiko dokumentieren. Nach Umsetzung aller Maßnahmen bleibt ein Restrisiko bestehen. Dieses Restrisiko muss bewertet und vom Risikoeigentümer formal akzeptiert werden. Die Dokumentation dieser Akzeptanz ist eine explizite Anforderung von Clause 6.1.3.
| ID | Risiko-ID | Maßnahme | Annex-A-Kontrolle | Verantwortlich | Startdatum | Fällig | Budget (EUR) | Status | Verifikation | Restrisikowert nach Maßnahme |
|---|---|---|---|---|---|---|---|---|---|---|
| RTP-001 | R-001 | Phishing-resistente MFA (FIDO2) für alle Admin-Konten | A 5.17 A 8.5 | IT-Betriebsleitung | 2026-02-01 | 2026-06-30 | 8000 | In Bearbeitung | Audit-Test Q3 | 6 |
| RTP-002 | R-001 | Backup-Netz segmentieren und Zugangsdaten isolieren | A 8.12 A 8.20 | IT-Betriebsleitung | 2026-03-01 | 2026-07-31 | 12000 | Offen | Pentest | 6 |
| RTP-003 | R-001 | Quartalsweise Restore-Tests auf Offline-Backup | A 8.13 | IT-Betriebsleitung | 2026-02-01 | Fortlaufend | 2000 | In Bearbeitung | Testprotokoll | 6 |
| RTP-004 | R-002 | FIDO2-Schlüssel für alle Mitarbeitenden ausrollen | A 5.17 | ISB | 2026-05-01 | 2026-09-30 | 15000 | Offen | Coverage-Report | 6 |
| RTP-005 | R-002 | Monatliche Phishing-Simulation + gezielte Nachschulung | A 6.3 | HR-Leitung | 2026-01-01 | Fortlaufend | 3000 | In Bearbeitung | LMS-Bericht | 6 |
| RTP-006 | R-003 | Ausgehende DLP-Regel für PII in E-Mail und Web | A 8.12 | ISB | 2026-04-01 | 2026-09-30 | 10000 | Offen | DLP-Meldungen | 6 |
| RTP-007 | R-003 | Strikter Leaver-Entzug innerhalb 2 h umsetzen | A 5.11 A 6.5 | HR-Leitung | 2026-03-01 | 2026-06-15 | 0 | In Bearbeitung | Audit-Stichprobe | 6 |
| RTP-008 | R-004 | Zweiten Logistik-SaaS-Anbieter als Standby qualifizieren | A 5.30 A 5.22 | Einkauf | 2026-04-01 | 2026-12-31 | 20000 | Offen | Lieferantenreview | 6 |
| RTP-009 | R-004 | Monatliches Lieferantenstatus-Review | A 5.22 | Einkauf | 2026-01-01 | Fortlaufend | 0 | In Bearbeitung | Review-Notizen | 9 |
| RTP-010 | R-005 | IaC-Scanning in CI-Pipeline einführen | A 8.28 A 8.9 | Head of Engineering | 2026-03-15 | 2026-06-30 | 5000 | In Bearbeitung | Pipeline-Logs | 6 |
| RTP-011 | R-005 | S3-Public-Access-Block auf Account-Ebene aktivieren | A 8.9 | IT-Betriebsleitung | 2026-03-01 | 2026-04-15 | 0 | Abgeschlossen | Konfig-Report | 6 |
| ID | Risk ID | Action | Annex A Control | Owner | Start Date | Due Date | Budget (EUR) | Status | Verification | Residual Score After |
|---|---|---|---|---|---|---|---|---|---|---|
| RTP-001 | R-001 | Deploy phishing-resistant MFA (FIDO2) for all admin accounts | A 5.17 A 8.5 | IT Operations Lead | 2026-02-01 | 2026-06-30 | 8000 | In progress | Audit test Q3 | 6 |
| RTP-002 | R-001 | Segment backup network and isolate credentials | A 8.12 A 8.20 | IT Operations Lead | 2026-03-01 | 2026-07-31 | 12000 | Open | Pentest | 6 |
| RTP-003 | R-001 | Quarterly restore test on offline backup | A 8.13 | IT Operations Lead | 2026-02-01 | Recurring | 2000 | In progress | Test log | 6 |
| RTP-004 | R-002 | Roll out FIDO2 keys to all staff | A 5.17 | ISO | 2026-05-01 | 2026-09-30 | 15000 | Open | Coverage report | 6 |
| RTP-005 | R-002 | Monthly phishing simulation + targeted retraining | A 6.3 | HR Lead | 2026-01-01 | Recurring | 3000 | In progress | LMS report | 6 |
| RTP-006 | R-003 | Deploy outbound DLP rule for PII in email and web | A 8.12 | ISO | 2026-04-01 | 2026-09-30 | 10000 | Open | DLP alerts | 6 |
| RTP-007 | R-003 | Implement strict leaver access revocation within 2h | A 5.11 A 6.5 | HR Lead | 2026-03-01 | 2026-06-15 | 0 | In progress | Audit sample | 6 |
| RTP-008 | R-004 | Qualify a second logistics SaaS provider as standby | A 5.30 A 5.22 | Procurement | 2026-04-01 | 2026-12-31 | 20000 | Open | Supplier review | 6 |
| RTP-009 | R-004 | Monthly supplier status review | A 5.22 | Procurement | 2026-01-01 | Recurring | 0 | In progress | Review notes | 9 |
| RTP-010 | R-005 | Implement IaC scanning in CI pipeline | A 8.28 A 8.9 | Head of Engineering | 2026-03-15 | 2026-06-30 | 5000 | In progress | Pipeline logs | 6 |
| RTP-011 | R-005 | Enable S3 public-access block at account level | A 8.9 | IT Operations Lead | 2026-03-01 | 2026-04-15 | 0 | Completed | Config report | 6 |
Quellen
- ISO/IEC 27001:2022, Clause 6.1.3 — Informationssicherheits-Risikobehandlung
- ISO/IEC 27005:2022, Abschnitt 10 — Risikobehandlung
- BSI Standard 200-3 — Risikoanalyse auf der Basis von IT-Grundschutz