Risikomanagement ist nach der Norm ISO 31000: 2009[1] eine Führungsaufgabe, im Rahmen derer die Risiken einer Organisation identifiziert, analysiert und bewertet werden. Hierzu sind übergeordnete Ziele, Strategien und Politik der Organisation für das Risikomanagement festzulegen. Im Einzelnen betrifft dies die Festlegung von Kriterien, nach denen die Risiken eingestuft und bewertet werden, die Methoden der Risikoermittlung, die Verantwortlichkeiten bei Risikoentscheidungen, die Bereitstellung von Ressourcen zur Risikoabwehr, die interne und externe Kommunikation über die identifizierten Risiken (Berichterstattung) sowie die Qualifikation des Personals für das Risikomanagement. 2018 ist eine aktualisierte Version der Norm ISO 31000 erschienen. (Quelle: Wikipedia)
Mit dem BSI-Standard 200-4 wird ein systematischer Weg aufgezeigt, ein Notfallmanagement in einer Behörde oder einem Unternehmen aufzubauen, um die Kontinuität des Geschäftsbetriebs sicherzustellen. Aufgaben eines Notfallmanagements sind daher, die Ausfallsicherheit zu erhöhen und die Institution auf Notfälle und Krisen adäquat vorzubereiten, damit die wichtigsten Geschäftsprozesse bei Ausfall schnell wieder aufgenommen werden können. Es gilt, Schäden durch Notfälle oder Krisen zu minimieren und die Existenz der Behörde oder des Unternehmens auch bei einem größeren Schadensereignis zu sichern. (Quelle: BSI)
Mein methodischer Zugang zur Einführung eines Risikomanagements im Bereich der IT:
1.) Analyse der einzelnen Services gegen die Gefahren des BSI-IT-Grundschutz und Erstellung einer Risikomatrix.
2.) Abgeleitet von der Risikomatrix wird eine Darstellung aller relevanten Services und Risiken die NICHT gemanagt werden können erstellt.
3.) Auf Basis dieser Darstellung kann im Rahmen eines jährlichen Reviews die Geschäftsführung entscheiden, wie mit den Risiken umzugehen ist (Vermeidung von Risiken, Risikoreduktion, Risikooptimierung, Risikotransfer), und die Entscheidung dokumentiert werden.
Damit ist eine transparente und vollständige Vorgehensweise gewährleistet.
