Risikoanalyse im Datenschutz

Risikoanalyse im Datenschutz bedeutet, die Eintrittswahrscheinlichkeit von Sicherheitsvorfällen, die personenbezogene Daten zum Gegenstand haben, und die Höhe des dadurch erwarteten Schadens zu ermitteln. Prozess- und Systemverantwortliche, aber auch der Datenschutzbeauftragte sind für eine Risikoanalyse zuständig.

Wann eine Risikoanalyse durchgeführt werden sollte:

  • Vor erstmaliger Erstellung eines IT-Sicherheitskonzepts
  • Vor Einbindung neuer Hard- und Software
  • Nach Änderungen im Umgang mit der Verarbeitung personenbezogener Daten
  • Nach Änderung der zu erwartenden Bedrohungen (Gefährdungslage)

In welchen Unternehmens- oder Behördenbereichen sind personenbezogene Daten Bestandteil?

  • Verträge, Korrespondenzen (postalisch und E-Mail), Rechnungen, Personalakten etc.
  • In Papierform oder auf Datenträgern (Laptops, PCs, USB-Sticks und Festplatten)
  • In Netzwerken (eigene IT-Infrastruktur oder extern als Cloud)

Welche Bedrohungen gibt es für diese Unternehmens- und Behördenbereiche und den dortigen personenbezogenen Daten?

  • Absichtliche Datenschutzverstöße durch Angestellte oder Fremde
  • Ausfall von IT-Infrastruktur
  • IT-Sicherheitslücken (Hacking-Angriff)
  • Menschliches Versagen

Wie hoch ist die Eintrittswahrscheinlichkeit der Bedrohungen? Einordnung in:

  • gering, mittel, hoch, sehr hoch

Welche Folgen hat der Eintritt einer Bedrohung? Einordnung in:

  • geringer, signifikanter, hoher, erheblicher, katastrophaler Schaden

Eine Risikoanalyse kann „auf eigene Faust“, also ohne festen Standard oder ohne vorgegebene Weise durchgeführt werden. Aus der IT-Sicherheit sind Risikoanalysen bekannt, beispielsweise die Risikoanalyse nach ISO 27005 oder nach dem BSI-Standard 100-3.

 
1 Star2 Stars3 Stars4 Stars5 Stars 1 Bewertung(en), durchschnittlich: 5,00 von 5
Loading...
Schreibe einen Kommentar
Deine E-Mail-Adresse wird nicht veröffentlicht.

Sie können folgende HTML-Tags benutzen:

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> 

*
*