Security+:Qualitative Risk Assessment

Ein qualitatives Risk Assessment ist ein Verfahren zur Bewertung von Risiken, das auf nicht-numerischen Informationen und subjektiven Einschätzungen basiert. Im Gegensatz zur quantitativen Risikobewertung werden bei der qualitativen Risikobewertung Risiken nicht mit Zahlen oder Daten quantifiziert, sondern anhand ihrer Eigenschaften, Merkmale und Wahrscheinlichkeiten qualitativ bewertet.

Bei einem qualitativen Risikobewertungsprozess werden in der Regel die folgenden Schritte durchgeführt:

  1. Identifizierung von Risiken: Potenzielle Risiken werden ermittelt und dokumentiert. Dies kann durch Brainstorming, Erfahrungswerte oder das Studium vergleichbarer Projekte oder Systeme erfolgen.
  2. Risikobewertung: Die identifizierten Risiken werden anhand verschiedener Kriterien bewertet. Diese Kriterien können beispielsweise die Auswirkungen des Risikos, die Wahrscheinlichkeit seines Eintritts, die Schwere der Folgen oder die Verfügbarkeit von Gegenmaßnahmen sein. Oft wird eine Risikomatrix verwendet, um Risiken auf der Grundlage dieser Kriterien zu bewerten und zu priorisieren.
  3. Risikoanalyse: Eine qualitative Analyse kann durchgeführt werden, um die zugrunde liegenden Ursachen und Mechanismen der Risiken zu verstehen und deren potenzielle Auswirkungen zu bewerten. Dies kann beinhalten, dass Expertenwissen oder Erfahrungswerte herangezogen werden.
  4. Risikobewältigung: Basierend auf den Ergebnissen der Risikobewertung werden Maßnahmen zur Risikominderung oder -vermeidung entwickelt. Es können Aktionspläne erstellt werden, um die identifizierten Risiken zu überwachen, zu steuern oder zu minimieren.

Ein qualitatives Risk Assessment ist nützlich, wenn quantitative Daten nicht verfügbar sind oder wenn eine grobe Einschätzung der Risiken ausreicht. Es kann in verschiedenen Bereichen eingesetzt werden, wie beispielsweise im Projektmanagement, im Risikomanagement, in der Informationssicherheit oder im Umwelt- und Gesundheitsschutz. Es ermöglicht eine Bewertung und Priorisierung von Risiken auf der Grundlage von qualitativen Informationen und subjektiven Einschätzungen, was dazu beitragen kann, Risiken zu identifizieren und angemessene Maßnahmen zu ergreifen, um ihnen zu begegnen.

Beim Quantitative Risk Assessment kommen z.B. auch sog. Heatmaps zum Einsatz.

Nehmen wir das Beispiel Serverausfall. Die Eintrittswahrscheinlichkeit (likelihood) ist i.d.R als gering (rare) einzustufen. ABER: Wenn er ausfällt, dann sind die Folgen meist verehrend, jedenfalls ohne Hochverfügbarkeit.

Print Friendly, PDF & Email
Abonnieren
Benachrichtige mich bei

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.

0 Comments
Oldest
Newest Most Voted
Inline Feedbacks
View all comments
0
Would love your thoughts, please comment.x