IT-Risikomanagement (IT Risk Management)

IT-Risikomanagement ist ein systematischer Prozess zur Identifikation, Bewertung, Behandlung und Überwachung von Risiken, die aus dem Einsatz von IT-Systemen entstehen können. Anerkannte Frameworks sind ISO/IEC 27005 (Informationssicherheitsrisikomanagement), NIST RMF (Risk Management Framework) und BSI IT-Grundschutz. Im Vergabekontext ist IT-Risikomanagement relevant, wenn Auftraggeber IT-Dienstleistungen beschaffen und sicherstellen müssen, dass der Auftragnehmer eigene Risikomanagementprozesse betreibt und die Risikoverteilung zwischen Auftraggeber und Auftragnehmer vertraglich klar geregelt ist.