Das Risikomanagement ist ein Prozess zur Ermittlung, Bewertung und Abschwächung bzw. Akzeptanz von Risiken, wie z. B. das Risiko, dass Mitarbeitende auf Phishing-E-Mails klicken, IT-Ausfälle oder Hacking-Angriffe.
Im Rahmen des Risikomanagements sind folgende Komponenten zu berücksichtigen:
-
Das Assetregister dient als Basis für das Risikomanagement.
-
Risikoidentifikation und -analyse: Der jeweilige Asset-Besitzer führt für sein Asset eine Analyse durch, um festzustellen, welche Bedrohungen und Schwachstellen bestehen, d.h. ob ein Risiko vorhanden ist. Wenn Risiken für ein Asset bestehen, muss der Risiko-Besitzer (ist nicht zwangsläufig der Asset-Besitzer) Schaden und Eintrittswahrscheinlichkeit jedes Risikos bewerten.
-
Risikobewertung: Auf der Grundlage des Schadens und der Eintrittwahrscheinlichkeit jedes Risikos sollte eine Risikobewertung durchgeführt werden.
-
Risikobehandlung und Risikoakzeptanz: Abhängig von der Risikobewertung muss beurteilt werden, ob die ermittelten Risiken unterhalb oder oberhalb der festgelegten Risikoakzeptanzschwelle liegen. Liegt das Risiko innerhalb der Risikoakzeptanzgrenze, müssen keine Maßnahmen ergriffen werden. Liegt das Risiko überhalb der Risikoakzeptanzgrenze, muss entschieden werden, ob das Risiko vermindert (z.B. technische und organisatorische Maßnahmen), übertragen (z. B. durch eine Versicherung) oder vermieden (z.B. bestehende Prozesse einstellen oder anpassen) werden kann. Ist eine Maßnahme zur Risikominderung teurer als der Eintritt des Risikos, gibt es auch die Möglichkeit, das Risiko zu akzeptieren, obwohl es über der Risikoakzeptanzschwelle liegt.