Risikobehandlung & SoA

Von der Bewertung zur Behandlung

Nach der Risikobeurteilung weißt du, welche Risiken über deiner Akzeptanzschwelle liegen. Die Risikobehandlung (Klausel 6.1.3) entscheidet, was du mit jedem dieser Risiken tust.

Die vier Behandlungsoptionen

Wichtig: Akzeptieren ist eine bewusste, dokumentierte Entscheidung des Risikoeigentümers – nicht „Augen zu und durch".

Maßnahmen wählen – und mit Anhang A abgleichen

Für „vermindern" wählt die Organisation passende Maßnahmen. Diese kommen meist aus Anhang A (den 93 Controls), dürfen aber auch von anderswo stammen. Entscheidend ist der Abgleich mit Anhang A: Die Norm verlangt zu prüfen, dass keine notwendige Maßnahme übersehen wurde.

Die Erklärung zur Anwendbarkeit (SoA)

Das zentrale Ergebnis ist die Erklärung zur Anwendbarkeit (Statement of Applicability, SoA). Sie listet alle 93 Maßnahmen aus Anhang A und hält für jede fest:

• ob sie anwendbar ist (ja/nein) und warum;
• ob sie bereits umgesetzt ist;
• bei Ausschluss: die Begründung.

Die SoA ist das wichtigste Einzeldokument des ISMS und der erste Anlaufpunkt jedes Auditors.

Der Risikobehandlungsplan

Parallel entsteht der Risikobehandlungsplan: Wer setzt welche Maßnahme bis wann mit welchen Ressourcen um? Beide – SoA und Plan – müssen von den Risikoeigentümern genehmigt werden, inklusive der Akzeptanz der Restrisiken (das Risiko, das nach den Maßnahmen verbleibt).

Risiko (zu hoch)
   │  Option wählen: vermindern / vermeiden / teilen / akzeptieren
   ▼
Maßnahmen aus Anhang A   ──►  SoA (was, warum, Status)
   │                          Risikobehandlungsplan (wer, bis wann)
   ▼
Restrisiko  ──►  vom Risikoeigentümer akzeptiert