Compliance-Lexikon · Praxis
Risk Treatment Plan – Praxis
Der Risk Treatment Plan ist im Zertifizierungsaudit der operative Nachweis, dass Risiken nicht nur bewertet, sondern tatsächlich behandelt werden. Was Zertifizierungsauditoren konkret pruefen, zeigt dieser Abschnitt.
Was Auditoren konkret pruefen
Im Zertifizierungsaudit prüft der Auditor den Risk Treatment Plan auf Vollständigkeit, Konsistenz mit Risikoregister und SoA, Genehmigungsnachweis und aktuellen Umsetzungsstatus. Das BAM-Objekt ISO-TP-01 definiert, was konkret vorgelegt werden muss.
Häufige Fehler
- Risk Treatment Plan und SoA inkonsistent – Kontrollen im SoA ohne Massnahme im Plan
- Massnahmen ohne Verantwortlichen und Frist
- Genehmigung durch CISO statt durch Risk Owner
- Umsetzungsstatus nie aktualisiert – alle Massnahmen ewig „in Bearbeitung“
Praxis-Tipp
Für den Risk Treatment Plan gilt: Konsistenz mit dem SoA ist der kritischste Pruefpunkt. Der Auditor vergleicht beide Dokumente explizit – jede Kontrolle im SoA muss einer Massnahme im Plan entsprechen, und umgekehrt.
Umsetzung Schritt für Schritt
Erster Schritt: Alle zu behandelnden Risiken aus dem Risikoregister ableiten. Zweiter Schritt: Für jedes Risiko Behandlungsoption und Kontrollmassnahmen auswählen. Dritter Schritt: Verantwortliche und Fristen zuweisen. Vierter Schritt: Genehmigung durch Risk Owner einholen. Fünfter Schritt: Umsetzungsstatus mindestens quartalsmässig aktualisieren. Sechster Schritt: Konsistenz mit SoA jährlich prüfen.
Evidence-Anforderungen im Zertifizierungsaudit
Der Auditor erwartet: datierten Risk Treatment Plan mit allen Pflichtfeldern, Genehmigungsnachweis durch Risk Owner, aktuellen Umsetzungsstatus und Konsistenznachweis mit SoA und Risikoregister.
Nächster Schritt
Stresstest starten
Kostenloser Compliance-Stresstest – ISO 27001 Readiness in 20 Minuten.
Die strategische Einordnung findet sich auf Ebene 3.