Entwicklung einer Schnittstelle zwischen ISO 31000:2018 und ISO/IEC 27005:2022

  • Magdalena Placho

    Studienabschlussarbeit: Masterarbeit

    Abstract

    In dieser Masterarbeit wird eine Schnittstelle entwickelt, die ein Framework zwischen
    den Normen ISO 31000:2018 und ISO/IEC 27005:2022 darstellt, um eine Brücke zwischen Enterprise Risk Management (ERM) und Information Security Risk Management
    (ISRM) zu schlagen. Organisationen stehen vor der Herausforderung, eine Vielzahl von
    Bedrohungen zu managen, die ihre Geschäftsprozesse und IT-Systeme betreffen. ERM
    und ISRM sind Disziplinen zur Bewältigung dieser Bedrohungen, jedoch existieren Unterschiede in Perspektive und Methodik, die zu Missverständnissen und Kommunikationsproblemen führen. [1]. Das Fehlen einer einheitlichen Schnittstelle zwischen den
    Normen ISO 31000:2018 und ISO/IEC 27005:2022 erschwert die Zusammenarbeit
    und erhöht den Ressourceneinsatz [2]. Ziel dieser Arbeit ist es, ein integratives RMFramework zu entwickeln, das die Anforderungen beider Normen berücksichtigt.
    Zunächst wurde die Schnittstelle anhand von Fachliteratur erstellt, um eine theoretische Grundlage zu schaffen. Diese theoretische Schnittstelle berücksichtigt die Anforderungen und Empfehlungen beider Normen und zielt darauf ab, eine harmonisierte
    Kontextfestlegung, einheitliche Risikokriterien sowie eine koordinierte Risikobewertung und -behandlung zu ermöglichen.
    Um die praktische Relevanz und Anwendbarkeit der entwickelten Schnittstelle zu
    überprüfen und zu verbessern, wurden anschließend Interviews mit Expert*innen
    durchgeführt. Durch die qualitative Inhaltsanalyse dieser Interviews konnte die Schnittstelle durch den Input der Expert*innen gezielt verbessert werden. Die Ergebnisse der
    Interviews zeigten, dass eine effektive Schnittstelle zwischen ERM und ISRM eine noch
    präzisere Harmonisierung und Koordination erfordert, um die Risikokommunikation
    und -bewältigung zu optimieren. Die Ergebnisse der Arbeit können als Grundlage für
    die Weiterentwicklung und Implementierung in der Praxis dienen, um die Effizienz des
    RM in Organisationen zu steigern. Langfristig gesehen unterstützt die Integration der
    beiden Normen die strategische Ausrichtung und nachhaltige Entwicklung von Organisationen, indem ein kohärentes RM-System etabliert wird, das sowohl unternehmensweite als auch informationssicherheitsrelevante Risiken berücksichtigt und adressiert
    Datum der Bewilligung2024
    OriginalspracheDeutsch (Österreich)
    Betreuer/-inEckehard Hermann (Betreuer*in)

    Studiengang

    • Information Security Management

    Zitieren

    '