Restrisikobewertung (Residual Risk Assessment / Restrisiko-Analyse)

Die Restrisikobewertung ist der formale Prozess, in dem nach Anwendung aller geplanten Sicherheitsmaßnahmen das verbleibende Restrisiko quantifiziert oder qualitativ eingestuft und bewertet wird, ob dieses für die Organisation tragbar ist oder ob weitere Maßnahmen erforderlich sind. ISO 27001 und BSI IT-Grundschutz fordern eine explizite Restrisikobewertung und die formale Akzeptanz durch das Management; das Ergebnis wird im Risikoregister dokumentiert. In IT-Vergaben sollten Auftraggeber bei Cloud- und SaaS-Beschaffungen eine Restrisikobewertung durchführen, die datenschutzrechtliche, verfügbarkeits- und sicherheitsbezogene Restrisiken systematisch erfasst und Maßnahmen zur Risikominimierung oder -akzeptanz nachweisbar begründet.