Risk Management

Ein angemessenes Risk Management in den Bereichen Cybersecurity und Informationssicherheit gehört zur obligatorischen Agenda jeder Organisation und Unternehmung, ungeachtet der Grösse, Komplexität und Branche. Das Werkzeug des Risk Management ermöglicht es sicherheitsrelevanten Rollen wie CSO, CISO, IT-Risikomanager, Sicherheitsbeauftragten oder Datenschutzbeauftragten, im jeweiligen Kontext und Scope die Risiken zu steuern und bestehende oder zu definierende Sicherheitsziele zu erreichen. Unsere ausgewiesenen Fachpersonen unterstützen Sie dabei gemäss Ihren Bedürfnissen und Ansprüchen. Wir wählen die passenden Module und Elemente aus der Risk Management Toolbox aus und ermöglichen Ihnen eine optimal auf Sie zugeschnittene Steuerung Ihrer Risiken in genau jenem Umfang, wie es für Sie und Ihre Stakeholder wünschenswert und angemessen ist.

Die fünf Phasen des Risk Management

Das Risk Management erfolgt in einem sich wiederholenden Zyklus von fünf Phasen:

1. Kontext und Umfang erfassen und validieren
2. Risiko-Assessment planen und durchführen
3. Risikobewertung und -Kommunikation vornehmen
4. Massnahmendefinitionen bzw. Massnahmen-Roadmap erarbeiten
5. Identifizierte Massnahmen schrittweise umsetzen

Für alle Phasen müssen Verantwortlichkeiten, Prozesse und Hilfsmittel definiert und implementiert werden. Je nach Grösse, Komplexität und Branche eines Unternehmens können unterschiedliche Lösungen aufgebaut oder optimiert werden. Dieser Zyklus kann sowohl auf strategischer, projektbezogener oder operativer Ebene angewandt werden. Temet unterstützt Sie bei der Erarbeitung der Hilfsmittel oder nutzt Ihre bestehenden Hilfsmittel in der konkreten Umsetzung einer oder mehrerer Phasen dieses Zyklus. Dabei sind wir bestrebt, den Prozess so schlicht wie möglich, aber so umfassend wie nötig zu gestalten und eine spezifisch zu Ihren Erwartungen und Ansprüchen passende Lösung zu entwerfen und umzusetzen.

Normen, Schnittstellen und Einbettung

Risk Management ist ein zentrales Element eines Information Security Management Systems (ISMS), wie es im Standard ISO/IEC 27001 definiert ist. Im Standard ISO/IEC 27005 aus der gleichen Normenreihe wird das Risk Management im Detail beschrieben.

Mit ISO/IEC 31000 existiert zudem ein weiterer Standard, der für die Ausgestaltung des Risk Managements hinzugezogen werden kann. Dieser ist allgemeiner gehalten und kann auf die verschiedensten Bereiche angewandt werden, z. B. für den Aufbau, die Optimierung oder den Unterhalt eines spezifischen Risk-Management-Systems für die IT-Organisation oder zur Unterstützung eines angemessenen Internen Kontrollsystems (IKS) nach dem Schweizer Prüfungsstandard und konform mit dem Schweizer Obligationenrecht.

Cyberrisiken sind als operationelle Risiken Teil des Enterprise oder Corporate Risk Managements und das entsprechende Risk Management sollte stets ins übergeordnete Risk Management der gesamten Organisation eingebettet werden.

Kundennutzen

Die Experten der Temet können Sie sowohl im Aufbau der notwendigen Prozesse und Hilfsmittel als auch bei der operativen Umsetzung des Risk Managements unterstützen, sei es in der Durchführung genereller oder spezifischer Risikoanalysen oder mit der Definition eines Massnahmenplans. Mit einem gelebten Risk Management in den Bereichen Informationssicherheit und Cybersecurity können die Risikoverantwortlichen Ihrer Organisation oder Unternehmung nachweisen, dass Sie Ihrer Sorgfaltspflicht zur angemessenen Adressierung der relevanten Risiken nachkommen. Das Risk Management unterstützt Sie zudem beim Aufbau eines zertifizierbaren ISMS nach ISO/IEC 27001 und der rechtskonformen Umsetzung eines IKS nach Schweizer Recht.