Lexikon · Risikomanagement
Risikoakzeptanz
Risikoakzeptanz bedeutet, ein verbleibendes Restrisiko bewusst und dokumentiert hinzunehmen, weil es unterhalb der festgelegten Akzeptanzschwelle liegt oder eine weitere Behandlung unverhältnismäßig wäre.
Ausführliche Erklärung
Nicht jedes Risiko lässt sich oder muss vollständig beseitigt werden. Entscheidend ist, dass die Akzeptanz bewusst, begründet und durch die zuständige Stelle (meist die Leitung) erfolgt.
Die Organisation legt vorab Akzeptanzkriterien fest, an denen sich entscheidet, welche Restrisiken tragbar sind. Akzeptierte Risiken werden weiter beobachtet.
Verwandte Begriffe
Risikobehandlung
Die Risikobehandlung legt fest, wie mit einem bewerteten Risiko umgegangen wird: vermindern, vermeiden, übertragen (z.B. versichern) oder bewusst akzeptieren.
Brutto- und Nettorisiko
Das Bruttorisiko ist das Risiko ohne Schutzmaßnahmen, das Nettorisiko das verbleibende Restrisiko, nachdem die umgesetzten Controls wirken.
Risiko
Ein Risiko in der Informationssicherheit ist die Kombination aus der Eintrittswahrscheinlichkeit eines Ereignisses und dem Schaden, den es für Vertraulichkeit, Integrität oder Verfügbarkeit von Informationen verursachen würde.
Risikoakzeptanz in der Praxis umsetzen
CompliantDesk bringt ISO 27001, NIS2, DSGVO und weitere Frameworks in einer Plattform zusammen, mit gemeinsamem Kern-Modell statt doppelter Dokumentation.