Compliance-Lexikon · ISO 27001
Risk Treatment Plan
[rɪsk ˈtriːtmənt plæn] · auch: Risikobehandlungsplan, Massnahmenplan
Der Risk Treatment Plan ist das ISO-27001-Pflichtdokument, das alle Massnahmen zur Risikobehandlung beschreibt – welche Kontrollen implementiert werden, wer verantwortlich ist, bis wann und mit welchem erwarteten Effekt auf das Risikoniveau – als operative Brücke zwischen Risikobeurteilung und SoA.
Warum der Risk Treatment Plan das operative Herzstück des ISMS ist
Der Risk Treatment Plan ist die Antwort auf die Frage: Was tun wir konkret gegen unsere Risiken? Er verbindet die Risikobeurteilung (welche Risiken haben wir?) mit dem SoA (welche Kontrollen wenden wir an?) und macht beides operational: Wer setzt welche Massnahme bis wann um? Ohne einen vollständigen, aktuellen Risk Treatment Plan ist das ISMS eine theoretische Konstruktion ohne operative Verankerung.
Wo der Risk Treatment Plan gefordert wird
| Framework | Referenz | Anforderung |
|---|---|---|
| ISO 27001:2022 | Kap. 6.1.3e | Risikobehandlungsplan: Pflichtdokument als Ergebnis der Risikobehandlungsplanung. |
| ISO 27001:2022 | Kap. 8.3 | Informationssicherheitsrisikobehandlung: Plan muss durch Risikoeigntümer genehmigt werden. |
| ISO 27002:2022 | vollständig | Implementierungsleitlinien: Referenz für die Massnahmenauswahl im Risikobehandlungsplan. |
| NIS-2 / BSIG | § 30 | Risikobehandlungsplan als Nachweis der systematischen Umsetzung von Sicherheitsmassnahmen. |
| DORA | Art. 6 | IKT-Risikomanagement-Rahmen: Behandlungsplan als Kernbestandteil des DORA-Rahmens. |
BAM-Objektreferenz
Häufige Audit-Fehler
- Kein Risk Treatment Plan vorhanden – Massnahmen nur im SoA ohne operative Details
- Plan veraltet – neue Risiken und abgeschlossene Massnahmen nicht eingearbeitet
- Fehlende Genehmigung durch Risikoeigentuemer
- Umsetzungsstatus nicht aktuell – abgeschlossene Massnahmen noch als „offen“
Aufbau eines vollständigen Risk Treatment Plans
Der Risk Treatment Plan enthält für jedes behandelte Risiko: Risikobeschreibung und Referenz zum Risikoregister, ausgewählte Behandlungsoption (Mindern, Übertragen, Vermeiden, Akzeptieren), ausgewählte Kontrollmassnahmen mit Referenz zur SoA, Risikoeigentuemer, verantwortliche Person für die Implementierung, Zielfrist für die Implementierung, erwartetes Restrisiko nach Implementierung, aktueller Umsetzungsstatus. Gut strukturiert, ist der Risk Treatment Plan gleichzeitig Massnahmenregister, Fortschrittsverfolgung und Grundlage für den Management Review.
Genehmigungsprozess
ISO 27001:2022 Kap. 8.3 verlangt, dass der Risk Treatment Plan durch die Risikoeigentuemer genehmigt wird und dass die akzeptierten Restrisiken explizit genehmigt werden. Das bedeutet: Der Risk Treatment Plan kann nicht allein vom CISO genehmigt werden – für jedes Risiko muss der entsprechende Risk Owner zustimmen. Diese Genehmigung ist ein explizites Pruefungskriterium im Zertifizierungsaudit.
Nächste Ebene
Risk Treatment Plan in der Praxis: Erstellung, Pflege und Evidence
Wie ein Risk Treatment Plan erstellt, aktuell gehalten und im Audit nachgewiesen wird.