Information security management aims at ensuring proper protection of information values and information processing systems (i.e. assets). Information security risk management techniques are incorporated to deal with threats and vulnerabilities that impose risks to information security properties of these assets. This paper investigates the current state of risk management practices being used in information security management in the DACH region (Germany, Austria, Switzerland). We used an anonymous online survey targeting strategic and operative information security and risk managers and collected data from 26 organizations. We analyzed general practices, documentation artifacts, patterns of stakeholder collaboration as well as tool types and data sources used by enterprises to conduct information security management activities. Our findings show that the state of practice of information security risk management is in need of improvement. Current industrial practice heavily relies on manual data collection and complex potentially subjective decision processes with multiple stakeholders involved. Dedicated risk management tools and methods are used selectively and neglected in favor of general-purpose documentation tools and direct communication between stakeholders. In light of our results we propose guidelines for the development of risk management practices that are better aligned with the current operational situation in information security management.

中文翻译：

---

信息安全风险管理实践：探索 DACH 地区的现状

信息安全管理旨在确保适当保护信息价值和信息处理系统（即资产）。结合信息安全风险管理技术来处理对这些资产的信息安全属性施加风险的威胁和漏洞。本文调查了 DACH 地区（德国、奥地利、瑞士）信息安全管理中使用的风险管理实践的现状。我们使用了一项针对战略和运营信息安全和风险经理的匿名在线调查，并从 26 个组织收集了数据。我们分析了一般实践、文档工件、利益相关者协作模式以及企业用于执行信息安全管理活动的工具类型和数据源。我们的研究结果表明，信息安全风险管理的实践状况需要改进。当前的工业实践在很大程度上依赖于手动数据收集和涉及多个利益相关者的复杂的潜在主观决策过程。专用的风险管理工具和方法被有选择地使用，而被忽视，有利于通用文档工具和利益相关者之间的直接沟通。根据我们的结果，我们为风险管理实践的发展提出了指导方针，这些实践更符合信息安全管理的当前运营情况。当前的工业实践在很大程度上依赖于手动数据收集和涉及多个利益相关者的复杂的潜在主观决策过程。专用的风险管理工具和方法被有选择地使用，而被忽视，有利于通用文档工具和利益相关者之间的直接沟通。根据我们的结果，我们提出了开发风险管理实践的指南，这些实践更符合信息安全管理的当前运营情况。当前的工业实践在很大程度上依赖于手动数据收集和涉及多个利益相关者的复杂的潜在主观决策过程。专用的风险管理工具和方法被有选择地使用，而被忽视，有利于通用文档工具和利益相关者之间的直接沟通。根据我们的结果，我们为风险管理实践的发展提出了指导方针，这些实践更符合信息安全管理的当前运营情况。