Risikoregister.

Das Risikoregister ist die maßgebliche, fortlaufend gepflegte Liste identifizierter Risiken mit Analyse, Bewertung, Behandlung und Verantwortlichkeit. Kein einmaliges Tabellenblatt. Auditoren erwarten datierte Einträge, namentlich benannte Verantwortliche, nachvollziehbare Änderungen und Überprüfungszyklen, die an das Management Review gekoppelt sind. Die Board-Version ist kürzer; die operative Version enthält alles.

By Christophe Mazzola, Practicing CISO · Founder of Cyber AcademyRisk managementAll entries

Die Einschätzung der Cyber Academy

Das Risikoregister ist die maßgebliche, fortlaufend gepflegte Liste identifizierter Risiken mit Analyse, Bewertung, Behandlung und Verantwortlichkeit. Kein einmaliges Tabellenblatt. Auditoren erwarten datierte Einträge, namentlich benannte Verantwortliche, nachvollziehbare Änderungen und Überprüfungszyklen, die an das Management Review gekoppelt sind. Die Board-Version ist kürzer; die operative Version enthält alles.

Was das Register wirklich ist

Das Risikoregister ist der einzige Ort, an dem die Organisation nachhält, was ihr Sorgen bereitet und was sie dagegen unternimmt. Man stellt sich eine Tabelle vor, und oft beginnt es auch als solche, doch das Artefakt, auf das es ankommt, ist die Disziplin dahinter : jedes Risiko identifiziert, analysiert, gegen die Risikobereitschaft bewertet, einem Verantwortlichen zugewiesen, mit einer Behandlungsentscheidung versehen und in einem Zyklus erneut betrachtet. Ein Register, das einmal für eine Zertifizierung ausgefüllt und danach nie wieder angefasst wurde, ist kein Risikoregister, sondern ein Museumsstück. Der Test besteht darin, ob Sie sich eine beliebige Zeile ansehen und erkennen können, wann sie zuletzt überprüft wurde, wer dafür verantwortlich ist und was sich seither geändert hat.

Jeder Eintrag trägt typischerweise eine Beschreibung des Risikos, den bedrohten Vermögenswert oder das bedrohte Ziel, die Analyse (Eintrittswahrscheinlichkeit und Auswirkung, wie auch immer Sie sie bewerten), die Bewertung anhand Ihrer Kriterien, die gewählte Behandlung, den benannten Verantwortlichen, das Restrisiko nach Behandlung und ein Überprüfungsdatum. Der Detaillierungsgrad ist gewollt : Wenn ein Auditor oder ein Vorfall an einem Faden zieht, muss der Eintrag standhalten. Vage Einträge ohne Verantwortlichen und ohne Datum sind das Erste, was ein kompetenter Auditor findet, und sie untergraben die Glaubwürdigkeit des gesamten Programms.

Wie es mit allem anderen zusammenhängt

Das Register ist kein eigenständiges Dokument, sondern der Knotenpunkt, an den sich der Rest des Risikoprogramms anschließt. Identifikation und Analyse folgen einer Methodik wie ISO 27005 oder EBIOS RM, und deren Ergebnis landet hier. Die Behandlungsspalte ist der Ort, an dem jedes Risiko auf die Entscheidung trifft, zu vermeiden, zu reduzieren, zu übertragen oder zu akzeptieren, und in einem ISO-27001-Kontext setzt sich diese Entscheidung weiter zur Erklärung zur Anwendbarkeit und zu den umsetzenden Maßnahmen fort.

Die Bewertungsspalte bedeutet nur dann etwas, wenn es eine schriftliche Risikobereitschaft gibt, anhand derer bewertet wird, sonst ist jede Einstufung nur die Meinung eines einzelnen Analysten. Das Register liegt also stromabwärts von Methodik und Risikobereitschaft und stromaufwärts von Behandlung und Maßnahmennachweis.

Auch deshalb ist das Register ein lebendes Dokument, das an die Managementbewertung gekoppelt ist, und kein einmaliges Lieferobjekt. Neue Risiken treten auf, behandelte Risiken ändern ihre Restbewertung, Verantwortliche wechseln, und die Risikobereitschaft selbst kann sich verschieben. Ein reifes Programm überprüft das Register in einem festgelegten Takt und speist die wesentlichen Bewegungen in die Managementbewertung ein, damit die Leitung Entscheidungen auf Basis eines aktuellen Bildes trifft und nicht auf dem des letzten Jahres.

Was Praktiker tatsächlich pflegen

In der Praxis ist das Register der Ort, an dem gute Absichten auf Pflege treffen. Das Schwierige ist nicht der erste Durchgang, sondern es über Jahre ehrlich zu halten. Datierte Einträge sind wichtig, weil ein Auditor eine nachvollziehbare Veränderung sehen will : wann ein Risiko erhoben wurde, wann sich seine Einstufung verschob, wann die Behandlung abgeschlossen wurde. Benannte Verantwortliche sind wichtig, weil ein Risiko ohne Verantwortlichen ein Risiko ist, das niemand tatsächlich steuert.

Überprüfungszyklen sind wichtig, weil Toleranzen und Abhängigkeiten driften, und ein Register, das zwei Reorganisationen alt ist, wird die falschen Dinge priorisieren. Die Felder lassen sich leicht aufzählen und schwer dauerhaft aufrechterhalten, was genau der Grund ist, warum das Register, nicht die Leitlinie, der Ort ist, an dem man sieht, ob ein Risikoprogramm lebt.

Eine häufige Verwechslung besteht zwischen dem Register und dem Behandlungsplan. Das Register ist das Inventar der Risiken und ihres aktuellen Zustands. Der Behandlungsplan ist die Menge der Maßnahmen, zu denen Sie sich verpflichtet haben, mit Fristen und Verantwortlichkeit, um Risiken auf akzeptable Niveaus zu bringen. Sie verweisen aufeinander, sind aber nicht dasselbe Dokument, und wenn sie auseinanderdriften, bemerkt es das Audit. Halten Sie das Register als Quelle der Wahrheit für den Zustand, und lassen Sie den Behandlungsplan die Quelle der Wahrheit für die laufende Arbeit sein.

Frequently asked questions

01Ist ein Risikoregister dasselbe wie eine Risikobeurteilung?

Nein. Die Risikobeurteilung ist die Tätigkeit des Identifizierens, Analysierens und Bewertens von Risiken. Das Register ist die lebende Aufzeichnung, die das Ergebnis dieser Tätigkeit festhält und es über die Zeit nachverfolgt, einschließlich Verantwortung, Behandlung und Überprüfungsdaten.

02Verlangt ISO 27001 ein Risikoregister?

ISO 27001 schreibt kein namentlich als „Risikoregister“ bezeichnetes Dokument vor, verlangt aber dokumentierte Ergebnisse der Informationssicherheits-Risikobeurteilung und der Risikobehandlung. In der Praxis ist das Register die Art und Weise, wie Organisationen diese Anforderung erfüllen und sie gegenüber Auditoren nachweisen.

03Was sollte jeder Eintrag enthalten?

Mindestens : eine klare Risikobeschreibung, die Analyse (Eintrittswahrscheinlichkeit und Auswirkung), die Bewertung anhand Ihrer Kriterien, einen benannten Verantwortlichen, die Behandlungsentscheidung, das Restrisiko nach Behandlung und ein Überprüfungsdatum. Datierte, nachvollziehbare Einträge sind das, wonach Auditoren zuerst suchen.

04Wie oft sollte das Register überprüft werden?

In einem festgelegten Zyklus und nach jeder wesentlichen Änderung, wobei die maßgeblichen Bewegungen in die Managementbewertung einfließen. Risiken, Einstufungen, Verantwortliche und die Risikobereitschaft selbst driften allesamt, sodass ein nicht überprüftes Register rasch aufhört, die Realität abzubilden.

05Warum eine separate Vorstandsversion führen?

Das operative Register trägt jedes Detail, das das Risikoteam für seine Arbeit benötigt. Der Vorstand braucht eine fokussierte Zusammenfassung der Risiken, die auf seiner Ebene von Bedeutung sind, um Entscheidungen treffen zu können. Stimmen Sie beide ab, aber zwingen Sie kein einziges Dokument, beide Zielgruppen zu bedienen.

Benötigen Sie mehr als eine Definition?

Buchen Sie ein kostenloses 20-minütiges Orientierungsgespräch. Wir ordnen die Kohorte zu, die diesen Begriff in eine auditreife Praxis verwandelt.