Mustertabelle für einen einfachen Risikoindex
Risiken sollten systematisch erfasst, bewertet und dokumentiert werden. Die zentralen Risikoparameter „Schadenshöhe” und „Eintrittswahrscheinlichkeit” verwendet man in der Praxis vielfach nicht (mehr) in der ursprünglichen, wahrscheinlichkeitstheoretisch abgeleiteten Bedeutung, sondern im übertragenen Sinne und bewertet ihre Ausprägung nach einem Punkteschema, z. B. mit (ganzzahligen) Werten von 1 bis 5. Nach einer separaten Bewertung der beiden Parameter werden die Ergebnisse für jedes Risiko multipliziert und führen zu einer Gefährdungskennziffer. Es kann sinnvoll sein, diese Gefährdungskennziffer aufgrund der Gesamtbetrachtung des jeweiligen Risikos noch mit einem Korrekturfaktor zu multiplizieren, um z. B. – wie bereits weiter vorne angesprochen – existenzbedrohende Risiken in der Bewertung zu verstärken. Das führt dann zu einem Risikokataster wie in der beigefügten Vorlage beispielhaft dargestellt. Die vorbereitete Vorlage im Excel-Format können Sie für Ihre eigenen Bewertungen direkt einsetzen.
Zur Arbeitshilfe: 03710_c.xlsx
Zum Kapitel:
Controlling der Information Security