Evidenzmodell IKT-Risikomanagement
Das Evidenzmodell umfasst 15 Nachweiskategorien, die die gesamte IRM-Evidenzlogik abdecken. Jeder Nachweis ist einer Rolle, einem Review-Zyklus und ISO-Kontrollen zugeordnet.
EVD-IRM-001
reviewed
IKT-Risikostrategie
Vom Leitungsorgan freigegebene IKT-Risikostrategie mit Risikoappetit, Zielen, Schwellenwerten und Überwachungskennzahlen.
VerantwortlichLeitungsorgan / Risikocontrolling
Review-ZyklusJährlich
ISO-AnkerA.5.1, A.5.4, A.5.36
Beispiele
- IKT-Risikostrategie (freigegeben)
- Risikoappetit-Erklärung
- Jährlicher Strategie-Review
EVD-IRM-002
reviewed
Rollen- und Verantwortungsmatrix
Verbindliche RACI-Matrix für IKT-Risikomanagement mit Zuordnung zu Fachbereichen, IT, Risikocontrolling, Informationssicherheit und Revision.
VerantwortlichOrganisation / Personalentwicklung
Review-ZyklusJährlich
ISO-AnkerA.5.2, A.5.3, A.5.37
Beispiele
- RACI-Matrix
- Stellenbeschreibungen mit IKT-Risikobezug
- Schulungsnachweise
EVD-IRM-003
reviewed
IKT-Risikoinventar
Vollständiges, aktuelles Verzeichnis aller identifizierten IKT-Risiken mit Risikobeschreibung, Bewertung, Verantwortlichem und Behandlungsstatus.
VerantwortlichRisikocontrolling / IT-Sicherheit
Review-ZyklusQuartalsweise
ISO-AnkerA.5.7, A.5.8, A.8.8
Beispiele
- IKT-Risikoinventar (aktuell)
- Risikoklassifikation
- Aktualisierungsprotokoll
EVD-IRM-004
reviewed
Schutzbedarfsfeststellung
Dokumentierte Schutzbedarfsfeststellung für alle IKT-Assets hinsichtlich Vertraulichkeit, Integrität und Verfügbarkeit.
VerantwortlichInformationssicherheit / Fachbereiche
Review-ZyklusJährlich
ISO-AnkerA.5.9, A.5.10, A.8.1, A.8.2
Beispiele
- Schutzbedarfsfeststellung (vollständig)
- Bewertungsmatrix
- Aktualisierungsnachweis
EVD-IRM-005
reviewed
Risikoanalysebericht
Aktueller Bericht über die systematische Analyse und Bewertung aller IKT-Risiken mit Risikomatrix und Priorisierung.
VerantwortlichRisikocontrolling
Review-ZyklusQuartalsweise
ISO-AnkerA.5.7, A.5.8, A.8.8
Beispiele
- Risikoanalysebericht (aktuell)
- Risikomatrix
- Priorisierungsliste
EVD-IRM-006
reviewed
Risikobehandlungsplan
Plan zur Behandlung identifizierter IKT-Risiken mit Massnahmen, Verantwortlichen, Fristen, Status und Risikoakzeptanzdokumentation.
VerantwortlichRisikocontrolling / Fachbereiche
Review-ZyklusQuartalsweise
ISO-AnkerA.5.7, A.5.8, A.5.29, A.8.3
Beispiele
- Risikobehandlungsplan (aktuell)
- Massnahmenübersicht
- Risikoakzeptanz mit Genehmigung
EVD-IRM-007
reviewed
Kontrollsystem-Dokumentation
Dokumentation des IKT-Kontrollsystems mit Kontrollzielen, -typen, -frequenzen, Verantwortlichen und Nachweisen.
VerantwortlichInformationssicherheit / IT-Betrieb
Review-ZyklusJährlich
ISO-AnkerA.5.7, A.5.8, A.8.8, A.8.15
Beispiele
- Kontrollmatrix IKT-Risikomanagement
- Kontrollbeschreibungen
- Kontrollkalender
EVD-IRM-008
reviewed
Wirksamkeitsnachweise
Nachweise der durchgeführten Wirksamkeitsprüfungen für IKT-Kontrollen mit Ergebnissen, Abweichungen und Massnahmen.
VerantwortlichInterne Revision / Informationssicherheit
Review-ZyklusJährlich
ISO-AnkerA.5.35, A.5.36, A.8.8, A.9.1
Beispiele
- Prüfplan Wirksamkeit
- Prüfprotokolle mit Ergebnissen
- Massnahmenplan bei Abweichungen
EVD-IRM-009
reviewed
Frühwarnindikatoren und Kennzahlen
Übersicht der definierten Frühwarnindikatoren (KRI) für IKT-Risiken mit aktuellen Werten, Schwellen und Trendanalyse.
VerantwortlichRisikocontrolling
Review-ZyklusMonatlich
ISO-AnkerA.5.7, A.5.8, A.5.35, A.8.16
Beispiele
- KRI-Übersicht mit aktuellen Werten
- Schwellwert-Definition
- Trendbericht
EVD-IRM-010
reviewed
Management-Reporting
Standardisiertes Reporting an das Management über IKT-Risikolage, Kontrollstatus, Frühwarnindikatoren und Massnahmenfortschritt.
VerantwortlichRisikocontrolling
Review-ZyklusQuartalsweise
ISO-AnkerA.5.35, A.5.36, A.5.37
Beispiele
- Quartalsbericht IKT-Risikomanagement
- Kennzahlen-Dashboard
- Ad-hoc-Berichte
EVD-IRM-011
reviewed
Leitungsorganbericht
Jährlicher IKT-Risikobericht an das Leitungsorgan mit Risikolage, Kontrollwirksamkeit, Reifegrad und strategischen Empfehlungen.
VerantwortlichRisikocontrolling / Vorstand
Review-ZyklusJährlich
ISO-AnkerA.5.1, A.5.4, A.5.36, A.5.37
Beispiele
- IKT-Risikobericht an Leitungsorgan
- Sitzungsprotokoll
- Beschlussvorlage
EVD-IRM-012
reviewed
Eskalationsprotokoll
Dokumentierte Eskalationsfälle im IKT-Risikomanagement mit Auslöser, Eskalationsstufe, Entscheidung und Nachverfolgung.
VerantwortlichRisikocontrolling / Fachbereiche
Review-ZyklusMonatlich
ISO-AnkerA.5.2, A.5.3, A.5.24, A.5.35
Beispiele
- Eskalationsmatrix
- Dokumentierte Eskalationsfälle
- Massnahmenverfolgung nach Eskalation
EVD-IRM-013
reviewed
Nachweisverzeichnis und Evidenzmodell
Vollständiges Verzeichnis aller Nachweise des IKT-Risikomanagements mit Zuordnung zu Anforderungen, Verantwortlichen und Review-Zyklen.
VerantwortlichQualitätsmanagement / Informationssicherheit
Review-ZyklusJährlich
ISO-AnkerA.5.33, A.5.34, A.5.35, A.5.36
Beispiele
- Evidenzmodell IKT-Risikomanagement
- Nachweisverzeichnis
- Review-Protokoll
EVD-IRM-014
reviewed
Reifegradbewertung
Jährliche Bewertung des Reifegrads aller IKT-Risikomanagement-Dimensionen mit Ergebnissen, Vorjahresvergleich und Massnahmenplan.
VerantwortlichQualitätsmanagement / Risikocontrolling
Review-ZyklusJährlich
ISO-AnkerA.5.35, A.5.36, A.10.1, A.10.2
Beispiele
- Reifegradbewertung (aktuell)
- Entwicklungsreport
- Massnahmenplan
EVD-IRM-015
reviewed
Schulungsnachweise
Dokumentation der durchgeführten Schulungen und Sensibilisierungsmassnahmen zu IKT-Risiken mit Teilnehmernachweisen und Erfolgskontrolle.
VerantwortlichPersonalentwicklung / Informationssicherheit
Review-ZyklusJährlich
ISO-AnkerA.5.2, A.5.3, A.6.3, A.7.2
Beispiele
- Schulungskonzept
- Teilnehmerlisten und -nachweise
- Testergebnisse
Hinweis
Diese Inhalte sind eigenständig formulierte Umsetzungshilfen und ersetzen keine Rechtsberatung.
