| 1 | Einen Verantwortlichen benennen/Governance einrichten | Für das Risikomanagement ist es notwendig, auf eine dedizierte Person oder ein dediziertes Team zu setzen. Die Aufgabe kann lang und mühsam sein, daher ist es wichtig, diese Aufgabe einer Person anzuvertrauen, die die Funktionsweise der Organisation kennt |
| 2 | Ereignisprotokoll | Erstellen Sie eine Bestandsaufnahme vergangener Ereignisse, die es Ihnen ermöglichen, Risiken auf der Grundlage vergangener Ereignisse zu bewerten |
| 3 | Konfiguration der Risikoskala | Legen Sie Ihre Risikoskala und die für jede Stufe geltenden Bedingungen fest |
| 4 | Kontrollpunkte | Erstellen Sie eine Bestandsaufnahme der Sicherheitsmaßnahmen oder Sicherheitsziele, die in Ihrer Organisation festgelegt wurden. Sie können sich von den in der Norm ISO 27001 empfohlenen Maßnahmen inspirieren lassen (für IT-Sicherheitsrisiken) |
| 5 | Identifikation der Risiken | Beginnen Sie damit, die Risiken für die kritischsten Assets zu identifizieren |
| 6 | Einen Risikotyp erstellen | Identifizieren Sie die befürchteten Ereignisse, die Bedrohungen, die Quellen usw. |
| 7 | Risiko bewerten | Die Bewertung betrifft das inhärente Risiko (das ist das theoretische Risiko, das mit der Aktivität verbunden ist. Man kann es auch als das Ausgangsrisiko definieren, vor jeglichen Kontrollmaßnahmen) und das Restrisiko (das ist das nach der Umsetzung von Kontrollmaßnahmen verbleibende Risiko) |
| 8 | Risiko behandeln | Je nach Antwort kann die Kontrollmaßnahme die Umsetzung von Kontrollpunkten umfassen |
| 9 | Risiko überwachen | Das Risiko muss mit der Aktivität, die es abdeckt, leben. Eine Überwachung der Entwicklungen wird regelmäßig durchgeführt |