Compliance-Lexikon · ISO 27001
Risk Owner (ISO)
[rɪsk ˈəʊnə] · auch: Risikoeigentuemer, Risikoverwantwortlicher im ISMS-Kontext
Der Risk Owner im ISO-27001-Kontext ist die Person, die die Verantwortung und Entscheidungshoheit fuer ein spezifisches Informationssicherheitsrisiko trägt – einschliesslich der Genehmigung des Risikobehandlungsplans und der Akzeptanz verbleibender Restrisiken.
Warum Risk Owner (ISO) ein Kernelement des ISO-27001-ISMS ist
Risk Owner (ISO) ist ein zentrales Element der ISO-27001-Anforderungen – entweder als explizite Norm-Anforderung (Muss-Kriterium) oder als wesentliche Kontrolle des Annex A. Im Zertifizierungsaudit wird geprueft, ob das Konzept nicht nur bekannt ist, sondern dokumentiert, implementiert und regelmässig geprueft wird. Fehlende oder unzureichend implementierte Elemente fuehren zu Nichtkonformitäten, die vor der Zertifizierung behoben werden müssen.
Wo Risk Owner (ISO) gefordert wird
| Framework | Referenz | Anforderung |
|---|---|---|
| ISO 27001:2022 | Kap. 6.1.2 | Risikobeurteilung: Risk Owner als Pflichtrolle fuer alle identifizierten Risiken. |
| ISO 27001:2022 | Kap. 8.3 | Risikobehandlung: Risk Owner muss Risikobehandlungsplan genehmigen. |
| ISO 31000 | Kap. 6.4 | Risikobehandlung: Risk Owner als zentrale Rolle im Risikomanagementprozess. |
| NIS-2 / BSIG | § 38 | Klare Verantwortlichkeiten als Voraussetzung fuer Leitungsorganhaftung. |
| DORA | Art. 6 | Klare Rollen und Verantwortlichkeiten fuer IKT-Risiken als DORA-Anforderung. |
BAM-Objektreferenz
Häufige Audit-Fehler
- Konzept implementiert, aber nicht dokumentiert
- Dokumentation veraltet – nicht an aktuelle Version von ISO 27001:2022 angepasst
- Leitungsorgan nicht einbezogen, wo Norm es verlangt
- Keine regelmässige Überprüfung der Wirksamkeit
Einordnung im ISO-27001-Gesamtrahmen
Risk Owner (ISO) ist Teil eines integrierten ISMS-Gesamtgefüges: Alle ISO-27001-Elemente – Risikobeurteilung, SoA, Risk Treatment Plan, interne Audits, Management Review, kontinuierliche Verbesserung – hängen zusammen. Wer Risk Owner (ISO) als isoliertes Element betrachtet, verpasst den systemischen Wert. Ein reifes ISMS nutzt alle Elemente als zusammenhängendes Steuerungssystem.
ISO 27001:2022 vs. 2013: Was hat sich geändert?
ISO 27001:2022 hat die Anforderungen an Risk Owner (ISO) in einigen Bereichen prazäisiert und erweitert. Die wichtigste Änderung: Der Annex A wurde von 114 auf 93 Kontrollen restrukturiert – mit neuen Kontrollen fuer Threat Intelligence, Cloud Security, ICT Readiness und Web Filtering. Organisationen, die noch auf Basis der 2013-Version zertifiziert sind, mussten bis Oktober 2025 auf die 2022-Version migrieren.
Nächste Ebene
Risk Owner (ISO) in der Praxis: ISO-27001-Anforderungen und Evidence
Was Zertifizierungsauditoren bei Risk Owner (ISO) konkret pruefen und welche Evidence benoetigt wird.