Die Einschätzung der Cyber Academy
ISO 31000 ist der generische Risikomanagement-Standard. Grundsätze, Rahmenwerk und iterativer Prozess. KEIN zertifizierbares Managementsystem; es gibt keinen ISO 31000 Lead Auditor, trotz gegenteiliger Aussagen in manchen Katalogen. Der PECB-Pfad lautet Foundation → Risk Manager → Lead Risk Manager. Setzen Sie diesen Standard ein, wenn das Risikomanagement über die Informationssicherheit hinausgeht.
Eine generische Norm, kein Managementsystem
ISO 31000 ist die internationale Referenz für das Management von Risiken jeder Art, in jeder Organisation. Sie ist bewusst generisch gehalten. Dieselben Grundsätze, derselbe Rahmen und derselbe Prozess gelten, ob das betreffende Risiko finanzieller, operativer, strategischer, sicherheitsbezogener, ökologischer oder cyberbezogener Natur ist. Genau diese Breite ist der Sinn der Sache. Eine Einkaufsentscheidung, ein Eintritt in einen neuen Markt und eine Ransomware-Exposition lassen sich alle mit demselben Vokabular und derselben Logik bewerten, was es einem Vorstand ermöglicht, Risiken zu vergleichen, die andernfalls in getrennten Silos mit nicht kompatiblen Bewertungen verbleiben würden.
Das häufigste Missverständnis besteht darin, ISO 31000 wie ISO 27001 oder ISO 22301 zu behandeln. Sie ist keine Anforderungsnorm und nicht zertifizierbar. Es gibt kein ISO-31000-Managementsystem, das auditiert werden könnte, und keine Qualifikation als ISO 31000 Lead Auditor, was auch immer manche Schulungskataloge bewerben. Die Norm bietet Leitlinien, die anzupassen sind, keine Anforderungen, denen zu entsprechen ist. Organisationen integrieren sie in ihre bestehende Arbeitsweise, anstatt ein separates zertifiziertes System aufzusetzen.
Grundsätze, Rahmen und Prozess
ISO 31000 stützt sich auf drei zusammenhängende Teile, die Praktiker auseinanderzuhalten lernen. Die Grundsätze legen dar, wie gutes Risikomanagement aussieht: Es ist in die Organisation integriert, strukturiert, auf den Kontext zugeschnitten, bezieht die Interessengruppen ein, ist dynamisch, beruht auf den besten verfügbaren Informationen und ist auf die Schaffung und den Schutz von Werten ausgerichtet. Der Rahmen betrifft Führung und Governance, also wie Risikomanagement beauftragt, gestaltet, umgesetzt, bewertet und im Laufe der Zeit verbessert wird, damit es sich tatsächlich verankert. Der Prozess ist die operative Maschine, die wiederholt ausgeführt wird.
- Festlegen des Kontexts. Definieren von Anwendungsbereich, Zielen sowie des internen und externen Umfelds, in dem das Risiko besteht.
- Risikoidentifikation, -analyse und -bewertung, die zusammen die Risikoeinschätzung bilden.
- Risikobehandlung. Festlegen, wie das Risiko verändert werden soll, und anschließend Umsetzen und Überprüfen der Maßnahmen.
- Kommunikation, Konsultation, Überwachung und Überprüfung, die den gesamten Zyklus umschließen und ihn aktuell halten.
Wie sie sich zu benachbarten Normen verhält
ISO 31000 ist die übergeordnete Norm. ISO 27005 wendet dieselbe Prozesslogik auf das Informationssicherheitsrisiko an und stimmt sich auf ein Informationssicherheits-Managementsystem nach ISO 27001 ab. EBIOS Risk Manager, die von der ANSSI veröffentlichte französische Methode, ist ein konkreter, szenariengetriebener Weg, eine Sicherheitsrisikoeinschätzung durchzuführen, der auf dieselben Phasen abgebildet wird. Keine dieser Ansätze widerspricht ISO 31000; sie spezialisieren sie. Ein Risk Manager, der den generischen Prozess versteht, kann zwischen ihnen wechseln, ohne die Grundlagen neu zu erlernen, weshalb die Norm zuerst gelehrt wird.
Das Vokabular wird über den ISO Guide 73 geteilt, das Begleitdokument, das die Begriffe des Risikomanagements definiert, damit „Wahrscheinlichkeit“, „Konsequenz“ und „Risikobehandlung“ in allen Dokumenten und Teams dasselbe bedeuten. Sich früh auf diese Definitionen zu einigen, verhindert die Bewertungsstreitigkeiten, die viele Risiko-Workshops zum Entgleisen bringen.
Was Praktiker tatsächlich damit machen
In der Praxis prägt ISO 31000 das Risikoregister, die Bewertungs-Workshops und die Berichtslinie zur Leitung. Ein Risk Manager nutzt sie, um zu begründen, warum ein Risiko auf eine bestimmte Weise zugeordnet, bewertet und behandelt wird, und um zu zeigen, dass der Ansatz konsistent und nicht von Fall zu Fall improvisiert ist. Da die Norm nicht zertifizierbar ist, ist der anerkannte Weg, Kompetenz nachzuweisen, ein persönlicher Nachweis. Der PECB-Pfad führt über Foundation, dann Risk Manager, dann Lead Risk Manager und baut vom Bewusstsein für die Konzepte bis zur Leitung eines Risikomanagementprogramms über eine gesamte Organisation auf.
Frequently asked questions
01Kann man sich nach ISO 31000 zertifizieren lassen?
Nein. ISO 31000 ist eine Leitlinie, keine Anforderungsnorm, daher gibt es keine organisatorische Zertifizierung dagegen. Sie weisen Kompetenz über persönliche Nachweise wie die Zertifizierungen PECB Risk Manager oder Lead Risk Manager nach, nicht über ein auditiertes Managementsystem.
02Gibt es eine Qualifikation als ISO 31000 Lead Auditor?
Nein, auch wenn manche Kataloge eine aufführen. Lead-Auditor-Schemata gibt es für zertifizierbare Managementsystem-Normen wie ISO 27001. ISO 31000 ist nicht zertifizierbar, daher lautet der anerkannte Werdegang Foundation, dann Risk Manager, dann Lead Risk Manager.
03Was ist der Unterschied zwischen ISO 31000 und ISO 27005?
ISO 31000 ist die generische, unternehmensweite Risikomanagementnorm, die jede Risikoart abdeckt. ISO 27005 wendet denselben Prozess speziell auf das Informationssicherheitsrisiko an und stimmt sich auf ein ISO-27001-Managementsystem ab. ISO 27005 spezialisiert ISO 31000, statt mit ihr zu konkurrieren.
04Wann sollte eine Organisation ISO 31000 statt einer sicherheitsspezifischen Methode verwenden?
Verwenden Sie ISO 31000, wenn das Risiko über die Informationssicherheit hinausgeht, etwa unternehmerisches, strategisches, finanzielles oder operatives Risiko, das einen einzigen gemeinsamen Rahmen benötigt. Für das Informationssicherheitsrisiko im Besonderen ordnen Sie ISO 27005 oder EBIOS Risk Manager darunter an.
05Was sind die drei Hauptbestandteile von ISO 31000?
Die Grundsätze, die beschreiben, wie wirksames Risikomanagement aussieht; der Rahmen, der regelt, wie Risikomanagement geführt und verankert wird; und der Prozess, der iterative Zyklus aus Kontext, Einschätzung, Behandlung sowie fortlaufender Kommunikation und Überprüfung.