Risikobewertung (Risk Assessment / Risikoanalyse)

Die Risikobewertung ist ein systematischer Prozess zur Identifikation, Analyse und Priorisierung von Risiken, bei dem Eintrittswahrscheinlichkeit und potentieller Schaden gegeneinander abgewogen werden. Im IT-Sicherheitsmanagement nach ISO 27001 und BSI IT-Grundschutz ist die Risikobewertung eine Pflichtaufgabe und Grundlage für die Auswahl angemessener Schutzmaßnahmen. In IT-Vergabeverfahren sollten Auftraggeber eine Risikobewertung für jedes Beschaffungsvorhaben durchführen, um Sicherheitsanforderungen dem tatsächlichen Schutzbedarf anzupassen und keine over- oder under-engineerten Sicherheitslösungen zu beschaffen.