Compliance-Lexikon · Praxis
Risk Treatment – Praxis
Risk Treatment ist die Schnittstelle zwischen Risikoanalyse und ISMS-Betrieb: Hier wird entschieden, welche Kontrollen implementiert werden – und diese Entscheidung muss nachvollziehbar und genehmigt dokumentiert sein.
Was Auditoren konkret prüfen
Der Auditor nimmt den Risk Treatment Plan und prüft: Ist für jedes Risiko eine Behandlungsoption dokumentiert? Bei Akzeptanz: Wer hat genehmigt? Bei Modifikation: Welche Controls wurden implementiert und was ist der Status? Stimmt das Statement of Applicability mit dem Risk Treatment Plan überein?
Häufige Fehler
- Akzeptierte Risiken ohne Genehmigung der zuständigen Führungsebene
- Controls implementiert, aber nicht im SoA vermerkt
- Risk Treatment Plan und Risk Assessment nicht synchronisiert
Praxis-Tipp
Risikoakzeptanz ist keine passive Entscheidung – sie muss aktiv und dokumentiert von der zuständigen Führungsebene genehmigt werden. Ein Risiko, das aus Ressourcenmangel nicht behandelt wurde, ist keine akzeptierte Risikoakzeptanz. Auditoren unterscheiden diese beiden Fälle sehr genau.
Statement of Applicability (SoA)
Das SoA ist für ISO 27001 ein Pflichtdokument: Es listet alle 93 Controls aus Annex A, erklärt für jeden Control, ob er anwendbar ist, und begründet Ausschlüsse. Das SoA muss mit dem Risk Treatment Plan abgestimmt sein: Jeder implementierte Control sollte auf ein oder mehrere Risiken aus dem Risk Assessment zurückführbar sein.
Evidence-Anforderungen im Audit
Vorzulegen sind: Risk Treatment Plan mit Behandlungsoptionen, Verantwortlichen und Status, Genehmigungen für akzeptierte Risiken, Statement of Applicability (für ISO 27001) und Nachweise der implementierten Controls. Das BAM-Objekt RISK-RT-01 strukturiert diese Anforderungen.
Nächster Schritt
NIS-2-Stresstest starten
Kostenloser Compliance-Check auf Basis der BAM-Objekte – unverbindlich, 20 Minuten.
Die strategische Einordnung – Risk Treatment als Kernprozess des ISMS – findet sich auf Ebene 3.