ISO 27001 fordert regelmäßige Risikoanalysen — ohne feste Frequenz. Die Praxis zeigt: mindestens jährlich plus anlassbezogen. Dieser Artikel erklärt wann eine neue Risikoanalyse notwendig ist.
Was fordert ISO 27001 zur Häufigkeit der Risikoanalyse
ISO 27001 Kap. 8.2 fordert Risikobeurteilungen 'in geplanten Abständen oder wenn wesentliche Änderungen vorgeschlagen oder eingetreten sind'. Keine feste Frequenz vorgeschrieben. Best Practice: vollständige Überprüfung mindestens jährlich. Anlassbezogen: bei wesentlichen Veränderungen. Ergebnis immer dokumentieren.
Welche Ereignisse lösen eine anlassbezogene Risikoanalyse aus
Anlassbezogene Trigger: neue IT-Systeme oder Anwendungen in Betrieb, wesentliche Infrastrukturänderungen (Cloud-Migration, neue Standorte), neue Geschäftsprozesse oder Produkte, Sicherheitsvorfälle (was hat gefehlt?), neue regulatorische Anforderungen, Ergebnisse aus Penetrationstests oder Audits, neue Bedrohungslage (z.B. kritische Zero-Day-Schwachstelle in genutzter Software).
Wie integriert man kontinuierliches Risiko-Monitoring
Kontinuierliches Monitoring ergänzt periodische Analysen: SIEM für technische Risikoindikatoren, Vulnerability Management für neue CVEs, Threat Intelligence Feeds für neue Bedrohungen, KPI-Tracking (Incident-Häufigkeit, Patchinggrad), automatische Alerts bei Schwellwert-Überschreitungen. Ziel: Risiken nicht nur jährlich, sondern laufend im Blick haben.
Wie aufwendig ist eine jährliche Risikoanalyse
Aufwand jährliche Überprüfung: wenn Grundstruktur steht, reicht oft eine Update-Analyse (Delta zum Vorjahr). Vollständige Neuanalyse: 2–5 Personentage für KMU. Mit ISMS-Tool: strukturierter und schneller. Externer Support: 3–8 Beratertage für professionelle Risikoanalyse. Zeitpunkt: idealerweise 2–3 Monate vor dem jährlichen Management Review.
Wie verbindet man Risikoanalyse mit dem jährlichen Management Review
Integration Risikoanalyse und Management Review: Risikoanalyse 4–8 Wochen vor dem Management Review abschließen, Ergebnisse als zentralen Tagesordnungspunkt einbringen, Top-Risiken vorstellen, Behandlungsentscheidungen vom Management treffen lassen und dokumentieren, Budget für Maßnahmen genehmigen lassen. ISO 27001 Kap. 9.3 macht diesen Zusammenhang explizit.
✓ Checkliste: Wie oft sollte eine Risikoanalyse durchgeführt werden?
- Verantwortlichkeiten klar definiert
- Dokumentation vollständig und aktuell
- Risikoanalyse durchgeführt
- Maßnahmen priorisiert und umgesetzt
- Mitarbeiter geschult
- Regelmäßige Überprüfung geplant
- Management informiert und eingebunden
- Compliance-Anforderungen erfüllt
- Technische Maßnahmen implementiert
- Auditierbarkeit sichergestellt
Fazit
Wie oft sollte eine Risikoanalyse durchgeführt werden? ist für Unternehmen jeder Größe relevant. Professionelle Umsetzung schützt vor Risiken, erfüllt regulatorische Anforderungen und schafft Vertrauen. APASEC begleitet Sie von der ersten Analyse bis zur nachhaltigen Implementierung.
APASEC unterstützt Sie — praxisnah und auf Ihr Unternehmen zugeschnitten. Jetzt unverbindlich anfragen →
Häufige Fragen (FAQ)
ISO 27001 Kap. 8.2 fordert Risikobeurteilungen 'in geplanten Abständen oder wenn wesentliche Änderungen vorgeschlagen oder eingetreten sind'. Keine feste Frequenz vorgeschrieben. Best Practice: vollständige Überprüfung mindestens jährlich. Anlassbezogen: bei wesentlichen Veränderungen. Ergebnis immer dokumentieren.
Anlassbezogene Trigger: neue IT-Systeme oder Anwendungen in Betrieb, wesentliche Infrastrukturänderungen (Cloud-Migration, neue Standorte), neue Geschäftsprozesse oder Produkte, Sicherheitsvorfälle (was hat gefehlt?), neue regulatorische Anforderungen, Ergebnisse aus Penetrationstests oder Audits, neue Bedrohungslage (z.B. kritische Zero-Day-Schwachstelle in genutzter Software).
Kontinuierliches Monitoring ergänzt periodische Analysen: SIEM für technische Risikoindikatoren, Vulnerability Management für neue CVEs, Threat Intelligence Feeds für neue Bedrohungen, KPI-Tracking (Incident-Häufigkeit, Patchinggrad), automatische Alerts bei Schwellwert-Überschreitungen. Ziel: Risiken nicht nur jährlich, sondern laufend im Blick haben.
Aufwand jährliche Überprüfung: wenn Grundstruktur steht, reicht oft eine Update-Analyse (Delta zum Vorjahr). Vollständige Neuanalyse: 2–5 Personentage für KMU. Mit ISMS-Tool: strukturierter und schneller. Externer Support: 3–8 Beratertage für professionelle Risikoanalyse. Zeitpunkt: idealerweise 2–3 Monate vor dem jährlichen Management Review.
Integration Risikoanalyse und Management Review: Risikoanalyse 4–8 Wochen vor dem Management Review abschließen, Ergebnisse als zentralen Tagesordnungspunkt einbringen, Top-Risiken vorstellen, Behandlungsentscheidungen vom Management treffen lassen und dokumentieren, Budget für Maßnahmen genehmigen lassen. ISO 27001 Kap. 9.3 macht diesen Zusammenhang explizit.