ISO 27005: Risiken im ISMS systematisch steuern

Kursüberblick

Ein strukturiertes Risikomanagement nach ISO 27005 ist der zentrale Hebel, um ein ISMS wirksam zu steuern. Risiken werden nicht nur dokumentiert, sondern systematisch analysiert, bewertet und in konkrete Maßnahmen überführt.
Die Norm ergänzt ISO 27001 um praxistaugliche Methoden zur Identifikation von Assets, Bedrohungen und Schwachstellen. Auf dieser Basis werden Risiken anhand von Eintrittswahrscheinlichkeit und Auswirkung bewertet und priorisiert.
Im Fokus steht die Entscheidungslogik der Risikobehandlung: Risiken vermeiden, reduzieren, übertragen oder bewusst akzeptieren. Diese Entscheidungen müssen nachvollziehbar dokumentiert und in bestehende Sicherheitsmaßnahmen – etwa Annex A Controls – integriert werden.
Ein konsistentes Risikoregister, Szenarioanalysen und klare Bewertungsmodelle schaffen Transparenz und bilden die Grundlage für Reporting und Auditfähigkeit. Gleichzeitig wird das Risikomanagement eng mit Business Impact Analysen, Notfallplanung und dem PDCA-Zyklus verzahnt.

Kursinhalte

• ISO/IEC 27005 ergänzt ISO/IEC 27001 um methodisches Risikomanagement
• Risiken werden identifiziert, bewertet, gesteuert und auditfähig dokumentiert

• Risiken systematisch erfassen: Assets, Bedrohungen, Schwachstellen
• Bewertung nach Eintrittswahrscheinlichkeit und Auswirkung
• Maßnahmen zur Risikobehandlung: vermeiden, reduzieren, übertragen, akzeptieren

• Risikomanagement als Kernprozess im ISMS verankern
• Schnittstellen zu BIA, Notfallplanung und Annex A Controls
• Grundlage für operative Sicherheitssteuerung und PDCA-Zyklus

• Risikoregister, Szenario-Analysen und Risikomatrix anwenden
• Kontinuierliche Aktualisierung und Management-Reporting
• Vorbereitung auf interne und externe Audits, Verbindung zu ISO 27701

Zielgruppe

• Security-Manager, die ein ISMS im Unternehmen aufbauen, steuern und kontinuierlich weiterentwickeln.
• IT-Verantwortliche, die ISO-27001-Anforderungen technisch und organisatorisch in die Praxis umsetzen.
• Datenschutzmanager, die die Schnittstellen zwischen Informationssicherheit und Datenschutz strukturiert gestalten.
• Externe Berater, die Unternehmen bei der Einführung, Umsetzung und Auditvorbereitung eines ISMS begleiten.
• Quality-Manager, die bestehende Managementsysteme um Informationssicherheit erweitern und integrieren.
• Digitalisierungsverantwortliche, die Informationssicherheit in Projekte und digitale Prozesse systematisch verankern.
• Compliance-Verantwortliche, die die normkonforme Umsetzung und Einhaltung regulatorischer Anforderungen sicherstellen.