Der Prozess, Risiken zu erkennen und sie anhand von Eintrittswahrscheinlichkeit und Auswirkung zu analysieren und zu bewerten, um zu entscheiden, welche behandelt werden müssen.
Die Risikobewertung ist das Herzstück jedes risikobasierten Managementsystems. Sie erkennt, was schiefgehen könnte, analysiert, wie wahrscheinlich jedes Szenario ist und wie schwer seine Auswirkung wäre, und bewertet das Ergebnis anhand der Risikokriterien der Organisation.
Das Ergebnis ist eine priorisierte Sicht auf Risiken, die Entscheidungen zur Risikobehandlung steuert. ISO/IEC 27001 und ISO 31000 verlangen beide eine definierte, wiederholbare Methode, damit die Ergebnisse über die Zeit vergleichbar bleiben.
KaitoSec