Lexikon · Risikomanagement
Risikobehandlung
Die Risikobehandlung legt fest, wie mit einem bewerteten Risiko umgegangen wird: vermindern, vermeiden, übertragen (z.B. versichern) oder bewusst akzeptieren.
Ausführliche Erklärung
Nach der Bewertung folgt die Entscheidung: Risiken vermindern (durch Controls), vermeiden (durch Verzicht auf die risikobehaftete Tätigkeit), übertragen (etwa per Cyberversicherung) oder akzeptieren, wenn das Restrisiko vertretbar ist.
Die gewählte Behandlung und das verbleibende Restrisiko werden dokumentiert. In der ISO 27001 verbindet die Anwendbarkeitserklärung (SoA) die Risikobehandlung mit den konkreten Controls.
Verwandte Begriffe
Risikoakzeptanz
Risikoakzeptanz bedeutet, ein verbleibendes Restrisiko bewusst und dokumentiert hinzunehmen, weil es unterhalb der festgelegten Akzeptanzschwelle liegt oder eine weitere Behandlung unverhältnismäßig wäre.
Brutto- und Nettorisiko
Das Bruttorisiko ist das Risiko ohne Schutzmaßnahmen, das Nettorisiko das verbleibende Restrisiko, nachdem die umgesetzten Controls wirken.
Control (Maßnahme)
Ein Control (deutsch: Maßnahme oder Kontrolle) ist eine konkrete Sicherheitsvorkehrung, die ein Risiko vermindert, etwa eine Zugriffsbeschränkung, Verschlüsselung oder ein Schulungsprozess.
Risikobehandlung in der Praxis umsetzen
CompliantDesk bringt ISO 27001, NIS2, DSGVO und weitere Frameworks in einer Plattform zusammen, mit gemeinsamem Kern-Modell statt doppelter Dokumentation.