Wenn Geschäftsprozesse abgesichert, neue IT-Systeme eingeführt, neue Technologien geplant, ein ISMS betrieben oder das Sicherheitsniveau verbessert werden soll, kommt häufig die Methode der Risikoanalyse zum Einsatz. Daraus ergeben sich meist folgende Fragen:
- Wie sollen Informationsrisiken identifiziert und bewertet werden?
- Welcher Detaillierungsgrad soll erreicht werden?
- Wann betrachte ich Brutto/Nettorisiken?
- Welche Rollen und Aufgaben gibt es dabei, z. B. wer darf Risiken akzeptieren, wer muss umsetzen?
- An welchen Standards (ISO 30001, ISO 27005, …) sollte man sich orientieren?
Lassen sich auch weiterführende Aspekte betrachten, wie bspw.:
- Wie werden Informationssicherheits-Risiken in agilen Projekten behandelt?
- Wann im Prozess sollten Umsetzungskosten für Maßnahmen betrachtet werden?
Die Berater der TTS können mit Ihnen Vorgaben zur Durchführung von Risikoanalysen erstellen oder bei der Einführung und Bewertung von Werkzeugen helfen. Ein großer Teil unserer Beratungstätigkeit umfasst auch die Durchführung von High-Level wie auch technisch detaillierte Risikoanalysen im Kundenauftrag.