Entwicklung einer Schnittstelle zwischen ISO 31000:2018 und ISO/IEC 27005:2022

  • Magdalena Placho

Studienabschlussarbeit: Masterarbeit

Abstract

In dieser Masterarbeit wird eine Schnittstelle entwickelt, die ein Framework zwischen
den Normen ISO 31000:2018 und ISO/IEC 27005:2022 darstellt, um eine Brücke zwischen Enterprise Risk Management (ERM) und Information Security Risk Management
(ISRM) zu schlagen. Organisationen stehen vor der Herausforderung, eine Vielzahl von
Bedrohungen zu managen, die ihre Geschäftsprozesse und IT-Systeme betreffen. ERM
und ISRM sind Disziplinen zur Bewältigung dieser Bedrohungen, jedoch existieren Unterschiede in Perspektive und Methodik, die zu Missverständnissen und Kommunikationsproblemen führen. [1]. Das Fehlen einer einheitlichen Schnittstelle zwischen den
Normen ISO 31000:2018 und ISO/IEC 27005:2022 erschwert die Zusammenarbeit
und erhöht den Ressourceneinsatz [2]. Ziel dieser Arbeit ist es, ein integratives RMFramework zu entwickeln, das die Anforderungen beider Normen berücksichtigt.
Zunächst wurde die Schnittstelle anhand von Fachliteratur erstellt, um eine theoretische Grundlage zu schaffen. Diese theoretische Schnittstelle berücksichtigt die Anforderungen und Empfehlungen beider Normen und zielt darauf ab, eine harmonisierte
Kontextfestlegung, einheitliche Risikokriterien sowie eine koordinierte Risikobewertung und -behandlung zu ermöglichen.
Um die praktische Relevanz und Anwendbarkeit der entwickelten Schnittstelle zu
überprüfen und zu verbessern, wurden anschließend Interviews mit Expert*innen
durchgeführt. Durch die qualitative Inhaltsanalyse dieser Interviews konnte die Schnittstelle durch den Input der Expert*innen gezielt verbessert werden. Die Ergebnisse der
Interviews zeigten, dass eine effektive Schnittstelle zwischen ERM und ISRM eine noch
präzisere Harmonisierung und Koordination erfordert, um die Risikokommunikation
und -bewältigung zu optimieren. Die Ergebnisse der Arbeit können als Grundlage für
die Weiterentwicklung und Implementierung in der Praxis dienen, um die Effizienz des
RM in Organisationen zu steigern. Langfristig gesehen unterstützt die Integration der
beiden Normen die strategische Ausrichtung und nachhaltige Entwicklung von Organisationen, indem ein kohärentes RM-System etabliert wird, das sowohl unternehmensweite als auch informationssicherheitsrelevante Risiken berücksichtigt und adressiert
Datum der Bewilligung2024
OriginalspracheDeutsch (Österreich)
Betreuer/-inEckehard Hermann (Betreuer*in)

Zitieren

'