Erstgespräch
Erstgespräch buchen
Leistungen
Übersicht → Audit Begleitung as a Service GAP-Analyse Implementierung
ISMS
Übersicht → Externer ISB CISIS12 BSI IT-Grundschutz ISO 27001 Regulatorik Cyber Resilience Act DORA NIS-2 NIS-2 Betroffenheit NIS-2 Registrierung B3S KRITIS TISAX®
AIMS
Übersicht → Externer KI-Beauftragter EU AI Act ISO 42001 Thema Schatten-KI
BCMS
Übersicht → Externer BCM-Beauftragter BSI 200-4 ISO 22301 ITSCM Notfallmanagement
RMS
Übersicht → Externer Risikomanager BSI 200-3 ISO 27005 MaRisk
Solutions
Übersicht → Partner Patchmanagement Schwachstellenmanagement SIEM SOC
Wissen
Übersicht → Insights KI-Security Briefing
Über uns
Übersicht → Presse
+49 40-298 4553-0 [email protected]
ISO 27005 Beratung: IT-Risikomanagement normkonform | SECURAM

RMS · ISO/IEC 27005:2022

ISO 27005 Beratung: Risikomanagement für Ihr ISMS

ISO/IEC 27005:2022 ist der internationale Leitfaden für Informationssicherheits-Risikomanagement. Die Norm beschreibt den systematischen Prozess aus Risikoidentifikation, Risikoanalyse, Risikobewertung und Risikobehandlung. SECURAM implementiert ISO 27005 als eigenständige Methodik und integriert sie in bestehende Managementsysteme nach ISO 27001. Von der Erstanalyse bis zum laufenden Betrieb mit RMaaS.

Erstgespräch vereinbaren Leistungsumfang ↓
27005 Risk Management

Ausgangslage

Warum strukturiertes Risikomanagement keine Option ist

ISO 27001 fordert Risikomanagement. ISO 27005 liefert die Methodik.

ISO 27001 verlangt in Abschnitt 6.1.2 eine dokumentierte Risikobeurteilung, lässt die konkrete Methodik jedoch offen. Viele Organisationen scheitern an dieser Offenheit: Risikoanalysen bleiben oberflächlich, Bewertungen sind nicht reproduzierbar, und die Verbindung zwischen identifizierten Risiken und implementierten Maßnahmen fehlt. ISO/IEC 27005:2022 schließt diese Lücke mit einem strukturierten Prozess, der von der Kontextdefinition über die Risikoidentifikation bis zur Risikobehandlung reicht.

Die Norm unterscheidet zwei methodische Ansätze: den Asset-basierten Ansatz, der Bedrohungen und Schwachstellen pro Informationswert bewertet, und den Szenario-basierten Ansatz, der von konkreten Bedrohungsszenarien ausgeht. In unseren Projekten kombinieren wir beide Ansätze, um sowohl die systematische Abdeckung des Asset-basierten Vorgehens als auch die Praxisnähe szenariobasierter Analysen zu nutzen. Für Organisationen im deutschen Markt ergänzen wir ISO 27005 bei Bedarf durch die BSI-200-3-Methodik, die mit vordefinierten Gefährdungskatalogen arbeitet.

Die regulatorische Relevanz von Risikomanagement steigt kontinuierlich. NIS-2 fordert in §30 BSIG Risikomanagementmaßnahmen mit persönlicher Geschäftsführerhaftung. DORA verlangt strukturiertes IKT-Risikomanagement für den Finanzsektor. Ein nach ISO 27005 aufgebauter Risikomanagement-Prozess erfüllt beide Anforderungen nachweisbar und bildet die Grundlage für ein integriertes Risikomanagement über mehrere Regelwerke hinweg.

Leistungsumfang

ISO 27005: Von der Risikoanalyse bis zum laufenden Betrieb

Sechs Leistungsbausteine decken den gesamten RM-Prozess nach ISO 27005 ab.

01

Kontext und Risikokriterien

Definition des Anwendungsbereichs, der Risikoakzeptanzkriterien und der Bewertungsmaßstäbe. Abstimmung mit der Risikostrategie der Organisation und den Anforderungen aus ISO 27001 Abschnitt 6.1.

02

Risikoidentifikation

Systematische Erfassung der Informationswerte, Bedrohungen und Schwachstellen. Wahlweise Asset-basiert oder Szenario-basiert, dokumentiert im Risikoregister mit eindeutiger Zuordnung zu Geschäftsprozessen.

03

Risikoanalyse und -bewertung

Bewertung von Eintrittswahrscheinlichkeit und Auswirkung für jedes identifizierte Risiko. Priorisierung anhand der definierten Risikokriterien und Darstellung in der Risikomatrix.

04

Risikobehandlung

Auswahl der Behandlungsoptionen (Modifikation, Beibehaltung, Vermeidung, Teilung) und Ableitung konkreter Maßnahmen. Erstellung des Statement of Applicability und Dokumentation der Restrisiko-Akzeptanz.

05

Dokumentation und ISMS-Integration

Integration des Risikomanagement-Prozesses in das bestehende ISMS. Erstellung der Risikomanagement-Richtlinie, Verfahrensbeschreibungen und Reporting-Templates für das Management Review.

06

RMaaS-Übergang

Strukturierte Übergabe an den laufenden Betrieb im RMaaS-Modell. Der externe Risikomanager übernimmt Risikoregister-Pflege, periodische Reviews und die Integration neuer Bedrohungsszenarien.

Ablauf

Risikomanagement nach ISO 27005 in 6 Phasen

Kontext und Risikokriterien festlegen

Woche 1–2

Definition des Anwendungsbereichs, der Risikoakzeptanzkriterien und der Bewertungsmethodik. Abstimmung mit Geschäftsleitung und ISMS-Verantwortlichen über Risikotoleranz und Bewertungsmaßstäbe.

Ergebnis: Risikomanagement-Richtlinie, Risikokriterien

Risikoidentifikation

Woche 3–5

Systematische Erfassung der Informationswerte, Bedrohungen und Schwachstellen im definierten Scope. Aufbau des Risikoregisters mit eindeutiger Zuordnung zu Geschäftsprozessen und Verantwortlichen.

Ergebnis: Risikoregister, Asset-Inventar

Risikoanalyse und Risikobewertung

Woche 5–7

Bewertung von Eintrittswahrscheinlichkeit und Auswirkung für jedes Risiko. Erstellung der Risikomatrix, Priorisierung der Risiken und Identifikation der Risiken oberhalb der Akzeptanzschwelle.

Ergebnis: Risikomatrix, priorisierte Risikoliste

Risikobehandlung und SoA

Woche 7–10

Auswahl der Behandlungsoptionen und Ableitung konkreter Maßnahmen. Erstellung des Risikobehandlungsplans und des Statement of Applicability. Management-Genehmigung der Restrisiko-Akzeptanz.

Ergebnis: Risikobehandlungsplan, SoA, Restrisiko-Akzeptanz

ISMS-Integration und Schulung

Woche 9–12

Integration der Risikomanagement-Ergebnisse in das ISMS. Aktualisierung der Dokumentation, Schulung der operativ Verantwortlichen und Einrichtung des periodischen Review-Prozesses.

Ergebnis: Aktualisiertes ISMS, Schulungsnachweis

Monitoring und RMaaS-Übergang

Fortlaufend

Einrichtung des laufenden Monitorings mit definierten Review-Zyklen und anlassbezogenen Neubewertungen. Übergabe an den laufenden Betrieb im RMaaS-Modell.

Ergebnis: Review-Kalender, Übergabedokumentation

Zeitangaben beziehen sich auf ein Erstprojekt im Mittelstand (100–500 Mitarbeiter). Bei bestehenden Managementsystemen oder erfahrenen Organisationen verkürzen sich die Phasen entsprechend.

Erfahrung und Qualifikation

Worauf SECURAM aufbaut

SECURAM Consulting wurde in Hamburg gegründet und berät seit mehr als 20 Jahren mittelständische Unternehmen in der DACH-Region. Die Kombination aus ISMS, BCMS, KI-Governance und Risikomanagement unter einem Dach unterscheidet SECURAM von spezialisierten Einzelnorm-Beratungen, weil Überschneidungen zwischen Standards systematisch genutzt werden.

30+
Implementierte Managementsysteme
50+
Durchgeführte interne Audits
15+
Betreute Organisationen (aaS)
20+
Jahre Beratungserfahrung

Skalierung

Vom Risikomanagement zur regulatorischen Compliance

ISO 27005 als RM-Methodik bildet die Grundlage für weiterführende Standards und Regulierungen.

Die Kombination aus ISO 27005 und BSI 200-3 deckt internationale und nationale Anforderungen an Informationssicherheits-Risikomanagement ab. Organisationen, die beide Methoden beherrschen, reduzieren den Aufwand bei NIS-2 und DORA.

Weitere Standards in der RMS-Säule
MaRisk

Laufender Betrieb

RMaaS — Externer Risikomanager

Nach Abschluss der ISO-27005-Implementierung übernimmt das RMaaS-Modell den laufenden Betrieb des Risikomanagements. Ein externer Risikomanager stellt sicher, dass Risikoregister, Risikobewertungen und Management-Reporting dauerhaft auf dem geforderten Niveau bleiben.

ISO 27005 verlangt regelmäßige Reviews des gesamten Risikomanagement-Prozesses. Das RMaaS-Modell stellt diese Kontinuität sicher und integriert neue Bedrohungsszenarien, regulatorische Änderungen und organisatorische Veränderungen in den bestehenden Prozess.

  • Risikoregister-Pflege und periodische Reviews
  • Anlassbezogene Risiko-Neubewertungen
  • Management-Reporting und Review-Vorbereitung
  • Integration regulatorischer Änderungen

SECURAM Consulting ist Mitglied der BSI-Allianz für Cybersicherheit, bei ISACA, Bitkom, der IHK Kiel und im Netzwerk Hamburg@work.

Häufige Fragen

FAQ — ISO 27005

ISO/IEC 27005:2022 ist der internationale Leitfaden für Informationssicherheits-Risikomanagement. Die Norm beschreibt den systematischen Prozess aus Risikoidentifikation, Risikoanalyse, Risikobewertung und Risikobehandlung. ISO 27005 ist selbst nicht zertifizierbar, liefert aber die Methodik, mit der Organisationen die Risikomanagement-Anforderungen aus ISO 27001 Abschnitt 6.1 erfüllen können.
ISO 27005 richtet sich an alle Organisationen, die ein Informationssicherheits-Managementsystem betreiben oder aufbauen. ISO 27001 fordert in Abschnitt 6.1.2 eine dokumentierte Risikobeurteilung, lässt die Methodik jedoch offen. ISO 27005 füllt diese Lücke mit einem strukturierten Prozess. Organisationen, die eine ISO-27001-Zertifizierung anstreben oder bereits zertifiziert sind, profitieren von der methodischen Klarheit der ISO 27005.
Die initiale Risikoanalyse nach ISO 27005 dauert in unseren Projekten vier bis acht Wochen, abhängig vom Scope und der Anzahl der zu bewertenden Assets. Für die vollständige Integration in ein bestehendes ISMS sind acht bis vierzehn Wochen realistisch. Nach der Ersteinführung wird der Risikomanagement-Prozess fortlaufend betrieben, mit periodischen Reviews und anlassbezogenen Neubewertungen.
Der Aufwand wird in Personentagen kalkuliert und hängt vom Scope, der Asset-Anzahl und dem Reifegrad des bestehenden ISMS ab. Eine GAP-Analyse als Einstieg umfasst typischerweise drei bis fünf Personentage. Im Erstgespräch schätzt SECURAM den Gesamtaufwand und identifiziert die dringlichsten Handlungsfelder. Organisationen mit bestehendem ISO 27001 starten mit deutlich geringerem Aufwand.
SECURAM behandelt Risikomanagement als eigenständige Säule und nicht nur als Teilprozess der ISO-27001-Implementierung. Die Integration mit BSI 200-3 für den deutschen Markt und MaRisk-Kompetenz für den Finanzsektor unterscheidet SECURAM von reinen ISMS-Beratungen. Das RMaaS-Modell sichert nach der Implementierung den laufenden Betrieb als externer Risikomanager.
Nein, ISO 27005 ist ein Leitfaden und keine Anforderungsnorm. Zertifizierbar ist ISO 27001, die in Abschnitt 6.1 ein dokumentiertes Risikomanagement fordert. ISO 27005 liefert die Methodik, um diese Anforderung zu erfüllen. Bei einem ISO-27001-Audit prüft der Zertifizierer, ob der Risikomanagement-Prozess systematisch, dokumentiert und nachvollziehbar ist. ISO 27005 als Methodengrundlage wird von Auditoren anerkannt.
ISO 27005 ist der internationale Leitfaden mit methodischer Offenheit: Organisationen wählen zwischen Asset-basiertem und Szenario-basiertem Ansatz. BSI 200-3 ist die nationale Methodik im IT-Grundschutz-Kontext mit vordefinierten Gefährdungskatalogen und Kreuzreferenztabellen. BSI 200-3 ist präskriptiver, ISO 27005 flexibler. Beide Ansätze sind komplementär und können in einer Organisation parallel eingesetzt werden.
ISO 27005 definiert vier Risikobehandlungsoptionen: Risikomodifikation durch Implementierung von Sicherheitsmaßnahmen, Risikobeibehaltung durch bewusste Akzeptanz des Restrisikos, Risikovermeidung durch Aufgabe der risikobehafteten Aktivität und Risikoteilung durch Übertragung auf Dritte, etwa durch Versicherungen oder Outsourcing. Die gewählte Option wird im Statement of Applicability dokumentiert und vom Management genehmigt.
§30 BSIG fordert von NIS-2-betroffenen Unternehmen Risikomanagementmaßnahmen für die Informationssicherheit. Die Geschäftsführung haftet persönlich für die Umsetzung. Ein nach ISO 27005 strukturiertes Risikomanagement erfüllt diese Anforderung nachweisbar. Die Kombination aus ISO 27001 als ISMS-Rahmen und ISO 27005 als RM-Methodik deckt die NIS-2-Anforderungen an Risikomanagement ab.
RMaaS steht für Risikomanagement as a Service. SECURAM übernimmt die Rolle des externen Risikomanagers und kümmert sich um Risikoregister-Pflege, regelmäßige Risikobewertungen, Management-Reporting und die Integration neuer regulatorischer Anforderungen. Das Modell eignet sich für Organisationen, die kein eigenes RM-Team aufbauen oder ihre bestehende Funktion durch externe Expertise ergänzen möchten.

Risikomanagement nach ISO 27005 aufbauen

Sprechen Sie mit unseren Beraterinnen über Risikoanalyse, Risikobewertung und laufenden Betrieb mit RMaaS.

Erstgespräch vereinbaren →

Nächster Schritt

Ihr Einstieg in ISO 27005

GAP-Analyse

ISO 27005 GAP-Analyse

Wie strukturiert ist Ihr Risikomanagement-Prozess? Die GAP-Analyse bewertet Ihre bestehende Methodik gegen die Anforderungen der ISO 27005 und identifiziert die kritischen Lücken.

GAP-Analyse anfragen →
Internes Audit

Risikomanagement-Audit

Prüfung des bestehenden RM-Prozesses auf Systematik, Dokumentation und Nachvollziehbarkeit. Das Audit bewertet die Methodik anhand der ISO-27005-Anforderungen und bereitet auf externe Audits vor.

Audit anfragen →
Implementierung

ISO 27005 implementieren

Aufbau des vollständigen Risikomanagement-Prozesses von der Kontextdefinition über Risikoidentifikation bis zur Risikobehandlung. Integration in Ihr bestehendes ISMS.

Implementierung anfragen →

Kontakt

Wir freuen uns auf Ihre Nachricht.

Ich habe die Datenschutzhinweise gelesen und bin einverstanden, dass meine Angaben zur Beantwortung meiner Anfrage verarbeitet und per E-Mail an SECURAM Consulting übermittelt werden. *

Ihre Ansprechpartnerin

Nadine Eibel – SECURAM Consulting

Nadine Eibel

Gründerin & Geschäftsführerin
SECURAM Consulting GmbH

Über 20 Jahre Erfahrung in IT-Security und Informationssicherheit. Zertifiziert als CISM, Lead Auditorin ISO 27001 und ITIL Expert.

Kontaktdaten

Colonnaden 5
20354 Hamburg
040 298 4553-0
contact@securam-consulting.com

Direkter Kontakt

Lieber direkt sprechen?
Buchen Sie ein kostenloses Erstgespräch.

Termin buchen