Risikobehandlung
Was ist Risikobehandlung?
RisikobehandlungEntscheidung und Maßnahmen zur Veränderung eines Risikos, typischerweise durch Akzeptieren, Mindern, Übertragen oder Vermeiden, auf Basis der Risikokriterien der Organisation.
Die Risikobehandlung ist der Schritt im Risikomanagement, in dem bewertete Risiken einer Reaktion zugeordnet werden. Klassische Optionen sind: Akzeptieren (Restrisiko tragen), Mindern (Kontrollen zur Reduktion von Eintrittswahrscheinlichkeit oder Auswirkung), Übertragen (Versicherungen, Vertragsklauseln, Outsourcing) und Vermeiden (Aktivität stoppen oder neu gestalten). Behandlungspläne legen Verantwortliche, Kosten, Zeitpläne, Ziel-Restrisiko und Kontrollen fest, häufig aus ISO/IEC 27001 Anhang A oder NIST SP 800-53. Der Plan wird im Risikoregister verfolgt und überprüft, wenn Kontrollen versagen, Bedrohungen sich ändern oder Geschäftsziele neu definiert werden. Wirksame Behandlung ist verhältnismäßig und im Einklang mit Appetit und Toleranz.
● Beispiele
- 01
Einführung von MFA und Conditional Access zur Minderung des Risikos von Kontoübernahmen.
- 02
Abschluss einer Cyber-Versicherung, um einen Teil eines Ransomware-Schadens zu übertragen.
● Häufige Fragen
Was ist Risikobehandlung?
Entscheidung und Maßnahmen zur Veränderung eines Risikos, typischerweise durch Akzeptieren, Mindern, Übertragen oder Vermeiden, auf Basis der Risikokriterien der Organisation. Es gehört zur Kategorie Compliance und Frameworks der Cybersicherheit.
Was bedeutet Risikobehandlung?
Entscheidung und Maßnahmen zur Veränderung eines Risikos, typischerweise durch Akzeptieren, Mindern, Übertragen oder Vermeiden, auf Basis der Risikokriterien der Organisation.
Wie funktioniert Risikobehandlung?
Die Risikobehandlung ist der Schritt im Risikomanagement, in dem bewertete Risiken einer Reaktion zugeordnet werden. Klassische Optionen sind: Akzeptieren (Restrisiko tragen), Mindern (Kontrollen zur Reduktion von Eintrittswahrscheinlichkeit oder Auswirkung), Übertragen (Versicherungen, Vertragsklauseln, Outsourcing) und Vermeiden (Aktivität stoppen oder neu gestalten). Behandlungspläne legen Verantwortliche, Kosten, Zeitpläne, Ziel-Restrisiko und Kontrollen fest, häufig aus ISO/IEC 27001 Anhang A oder NIST SP 800-53. Der Plan wird im Risikoregister verfolgt und überprüft, wenn Kontrollen versagen, Bedrohungen sich ändern oder Geschäftsziele neu definiert werden. Wirksame Behandlung ist verhältnismäßig und im Einklang mit Appetit und Toleranz.
Wie schützt man sich gegen Risikobehandlung?
Schutzmaßnahmen gegen Risikobehandlung kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für Risikobehandlung?
Übliche alternative Bezeichnungen: Risikoreaktion, Mitigationsplan.
● Verwandte Begriffe
- compliance№ 936
Risikomanagement
Der koordinierte Prozess zur Identifikation, Analyse, Bewertung, Behandlung, Überwachung und Kommunikation von Risiken, um sie innerhalb der von der Organisation definierten Toleranz zu halten.
- compliance№ 935
Risikobewertung
Strukturierte Aktivität innerhalb des Risikomanagements, die Bedrohungen, Schwachstellen und Auswirkungen auf konkrete Werte identifiziert und das resultierende Risiko zur Entscheidungsfindung bewertet.
- compliance№ 937
Risikoregister
Lebendiges Verzeichnis identifizierter Risiken mit Beschreibung, Eigentümer, Bewertungen, Behandlung und Status, mit dem die Risikoexposition der Organisation im Zeitverlauf nachgehalten wird.
- compliance№ 923
Restrisiko
Das Risiko, das nach der Umsetzung geplanter Kontrollen und Behandlungsmaßnahmen verbleibt und das die Organisation akzeptieren, übertragen oder weiter behandeln muss.
- compliance№ 557
ISO/IEC 27001
Internationaler Standard mit Anforderungen an ein Information Security Management System (ISMS), nach dem Organisationen formal zertifiziert werden können.
- compliance№ 737
NIST SP 800-53
NIST-Publikation mit einem umfassenden Katalog von Sicherheits- und Datenschutzkontrollen für US-Bundessysteme und viele Anwender im Privatsektor.
● Siehe auch
- № 934Risikoappetit
- № 938Risikotoleranz