Das Risiko des Fahrraddiebstahls ist im eigenen Keller, wenn das Rad zudem verschlossen ist, recht klein. Es mangelt an Gefährdern. Anders sieht es aus, wenn man schnell beim Bäcker reinspringt, ohne das Rad abzuschließen.

Wie beim übergeordneten System zur Informationssicherheit geht es nicht nur um IT-Risiken. Es geht auch hier um Menschen, um Daten, Know-how und Informationen, um Geräte und IT, um umweltliche Umgebungen und um vieles anderes mehr. Um Risiken zu managen existieren einige Frameworks, die zur Unterstützung herangezogen werden können wie z.B.

• ISO/IEC 27001, ISO/IEC 27005, IEC 31010
• NIST Special Publication 800-37, 800-39
• COBIT 2019

Das Management von Risiken ist der zentrale Bestandteil eines Managementsystems für Informationssicherheit. Viele der Themen in einem solchen System fallen immer wieder darauf zurück. Das Risiko-Management bzw. die Behandlung von Risiken liefert als Output auch Maßnahmen, die in den Bereich IT-Sicherheit fallen. Allerdings ist das Risiko-Management im Ergebnis sehr viel größer und umfänglicher als der Begriff IT-Sicherheit abdeckt.

Auch für sich genommen und alleinstehend kann ein Risiko-Management wertvolle Dienste für den gesicherten Geschäftsbetrieb eines Unternehmens leisten.