Sie sind hier
E-Book

IT-Risiko-Management mit System

Von den Grundlagen bis zur Realisierung - Ein praxisorientierter Leitfaden

AutorHans-Peter Königs
VerlagVieweg+Teubner (GWV)
Erscheinungsjahr2007
Seitenanzahl280 Seiten
ISBN9783834890627
FormatPDF
KopierschutzDRM
GerätePC/MAC/eReader/Tablet
Preis36,99 EUR
Der praxisbezogene Leitfaden für das IT-Risiko-Management im Unternehmen. Systematisch werden die Risiken rund um die Informationen, IT-Systeme und IT-Dienstleistungen behandelt. Der Leser erhält alles, was zur Analyse und Bewältigung dieser Risiken methodisch erforderlich ist, um es in der Praxis sicher umsetzen zu können. Ein beispielhafter Risiko-Management-Prozess zeigt auf, wie die IT-Risiken zusammen mit anderen wichtigen Risiken in die Management-Prozesse des Unternehmens einbezogen werden. Auf diese Weise wird den Anforderungen der 'Corporate Governance' zum Wohle des Unternehmens umfassend Rechnung getragen.
'Lesenswert sind besonders die Kapitel zu Methoden des IT-Risikomanagements sowie zur IT-Notfallplanung.'
Managementkompass, F.A.Z.-Institut, Juni 2007

Hans-Peter Königs, Dipl. El. Ing. und MBA, ist Corporate Security Officer der Telekurs Group in Zürich sowie Dozent an der Hochschule für Wirtschaft HSW Luzern in den Master-Studiengängen 'MAS Information Security' und 'MAS Risk Management'.

Kaufen Sie hier:

Horizontale Tabs

Leseprobe
7 Informations-Sicherheit und Corporate Governance (S. 109-110)

Zum IT-Risiko-Management gehören an vorderster Stelle die Führungsaspekte, die in der Governance, der Aufbauorganisation und den Führungsinstrumenten zum Ausdruck kommen. Im Teil B dieses Buches haben wir bereits die Anforderungen eines Unternehmens-Risiko-Managements aus der Sicht der Corporate- Covernance behandelt. Bevor wir uns nun den Inhalten, Methoden und Verfahren des IT-Risiko-Managements widmen, halten wir fest, wo das für ein Unternehmen immer wichtiger werdende IT-Risiko-Management im Verhältnis zur Disziplin „ITSicherheit" zu positionieren ist. Weiter werden die für ein IT-Risiko-Management wesentlichen Aspekte der IT-Governance und Informations-Sicherheits- Governance aufgezeigt. Management von IT-Risiken und Informations-Sicherheit Aus der Sicht „IT-Sicherheit" gilt es festzuhalten, dass hundertprozentige Sicherheit nicht möglich ist.

Um über die Höhe der Sicherheit überhaupt eine Aussage machen zu können, kommt das Risiko als ein Mass für die „Unsicherheit" zur Anwendung. Aussagen über das Mass der nicht erreichten Sicherheit machen zu können, wird umso wichtiger, wenn es darum geht, die Kosten von Massnahmen gegen ihren Nutzen, sprich Risiko- Verminderung, abzuwägen. Werden Budgets für Sicherheitsmassnahmen bei der Geschäftsleitung eines Unternehmens beantragt, dann sind die Massnahmenkosten vermehrt mit dem zu erzielenden Nutzen zu begründen. Bei der Nutzen-Argumentation genügt meist eine Erläuterung der vorhandenen Bedrohungen nicht, sondern es müssen anhand von Szenarien die eingeschätzten und nach unternehmesspezifischen Kriterien bewerteten Risiken aufgezeigt werden können.

Der Prozess der IT-Sicherheit im Unternehmen wird damit zum Risiko-Management-Prozess und beginnt bei der Identifikation und Einschätzung der für das Unternehmen relevanten Risiken. Auch der Umgang mit IT-Risiken, z.B. wie hohe Restrisiken toleriert und inwieweit und in welcher Art die Massnahmen ergriffen werden, fallen in die Prozess-Schritte „Risiko-Bewertung" und der Definition von „Bewältigungsstrategien" (s. Kapitel 3). In der Realität hat also die Disziplin „Informations-Sicherheit" nicht die Aufgabe „Sicherheit per se" zu erzeugen, sondern die zum Teil wechselnden Risikosituationen im Zusammenhang mit Informationen in einem ständigen Prozess festzustellen und den Umständen entsprechend angemessen zu bewältigen. Aus den strategischen Optionen „Risiken verhindern", „- reduzieren", „-transferieren" oder „- selbst tragen" wird klar, dass das ITRisiko- Management, wie auch jedes andere Risiko-Management, in einem Unternehmen nicht die alleinige Aufgabe einer Fachabteilung sein kann, sondern eine strategische Aufgabe des Unternehmens ist.

IT-Risiko-Management ist somit ein integraler Teil guter Corporate Governance und Management-Praxis und leitet sich von den Wertvorstellungen, der Politik, den Strategien und Zielen des Unternehmens ab. Dies schliesst nicht aus, dass IT-Risiko- Management unmittelbar an den einzelnen Objekten (z.B. an den Informationenbeständen, Systemen, Handlings, Prozessen, Projekten), durchgeführt werden muss und dort Teil der Disziplin „IT-Sicherheit" ist. Doch kann die Frage über das notwendige Mass an Sicherheit letztlich nur über das eingeschätzte und im Kontext bewertete Risiko beantwortet werden. Die Leistung der „IT-Sicherheit" äussert sich daher vor allem in einem an den Geschäfts-Strategien und -Zielen ausgerichteten ITRisiko- Management, welches die Risiken und Massnahmenkosten im Geschäftskontext optimiert. IT-Governance und Informations-Sicherheit-Governance Das IT-Governance Institut, gegründet durch die „Information and Systems Audit and Control Association" (ISACA) widmet sich der IT-Governance, indem es Richtlinien, Frameworks und Berichte erstellt sowie Befragungen zum aktuellen Stand der ITGovernance durchführt.
Inhaltsverzeichnis
Vorwort6
Inhaltsverzeichnis8
1 Einführung14
1.1 Warum beschäftigen wir uns mit Risiken?14
1.2 Risiken bei unternehmerischen Tätigkeiten15
1.3 Inhalt und Aufbau dieses Buchs16
Teil A Grundlagen erarbeiten19
2 Elemente für die Durchführung eines Risiko- Managements20
2.1 Fokus und Kontext Risiko-Management21
2.2 Definition des Begriffs „Risiko“22
2.3 Anwendung der Risiko-Formel25
2.4 Subjektivität bei der Risiko-Einschätzung26
2.5 Hilfsmittel zur Risiko-Einschätzung26
2.5.1 Risiko-Matrix26
2.5.2 Schadenseinstufung28
2.5.3 Risiko-Karte und Risiko-Portfolio30
2.5.4 Risiko-Katalog31
2.5.5 Risiko-Aggregierung32
2.6 Risiko-Kategorien, Risiko-Arten und Top-Down-Vorgehen33
2.6.1 Bedrohungslisten34
2.6.2 Beispiele von Risiko-Arten35
2.7 Zusammenfassung37
2.8 Kontrollfragen und Aufgaben38
3 Risiko-Management als Prozess40
3.1 Festlegung Risiko-Management-Kontext42
3.2 Durchführung der Risiko-Analyse43
3.2.1 Analyse-Arten43
3.2.2 Durchführung der Risiko-Analyse in einem RM-Prozess45
3.2.3 Value at Risk-Methode47
3.2.4 Analyse-Methoden49
3.2.5 Such-Methoden51
3.2.6 Szenarien-Analyse52
3.3 Durchführung von Teil-Analysen52
3.3.1 Schwächen-Analyse52
3.3.2 Impact-Analyse53
3.4 Risiko-Bewertung54
3.5 Risiko-Bewältigung55
3.6 Risiko-Kontrolle und -Reporting57
3.7 Risiko-Kommunikation58
3.8 Anwendungen eines Risiko-Management-Prozesses58
3.9 Zusammenfassung59
3.10 Kontrollfragen und Aufgaben60
Teil B Anforderungen berücksichtigen62
4 Risiko-Management, ein Pflichtfach der Unternehmensführung64
4.1 Corporate Governance65
4.2 Anforderungen von Gesetzgebern und Regulatoren67
4.2.1 Gesetz KonTraG in Deutschland67
4.2.2 Obligationenrecht in der Schweiz68
4.2.3 Swiss Code of best Practice for Corporate Governance69
4.2.4 Basel Capital Accord (Basel II)70
4.2.5 Sarbanes-Oxley Act (SOX) der USA73
4.3 Risiko-Management: Anliegen der Kunden und Öffentlichkeit75
4.4 Hauptakteure im unternehmensweiten Risiko-Management76
4.5 Zusammenfassung79
4.6 Kontrollfragen und Aufgaben80
5 Risiko-Management integriert in das Management- System82
5.1 Integrativer Risiko-Management-Prozess83
5.2 Normatives Management85
5.2.1 Unternehmenspolitik85
5.2.2 Unternehmensverfassung85
5.2.3 Unternehmenskultur86
5.2.4 Mission und Strategische Ziele86
5.2.5 Vision als Input des Strategischen Managements87
5.3 Strategisches Management87
5.3.1 Strategische Ziele89
5.3.2 Strategien93
5.4 Strategie-Umsetzung93
5.4.1 Strategieumsetzung mittels Balanced Scorecards (BSC)93
5.4.2 Unternehmensübergreifende BSC98
5.4.3 Balanced Scorecard und CobiT für die IT-Strategie98
5.4.4 IT-Indikatoren in der Balanced Score Card100
5.4.5 Operatives Management (Gewinn-Management)104
5.4.6 Policies und Pläne104
5.4.7 Risikopolitische Grundsätze106
5.5 Zusammenfassung107
5.6 Kontrollfragen und Aufgaben108
Teil C IT-Risiken erkennen und bewältigen110
6 Informations- und IT-Risiken112
6.1 Veranschaulichung der Risikozusammenhänge am Modell112
6.2 Informationen — die risikoträchtigen Güter114
6.3 Systemziele für den Schutz von Informationen116
6.4 Informations-Sicherheit versus IT-Sicherheit118
6.5 IT-Risikomanagement, IT-Sicherheit und Grundschutz119
6.6 Zusammenfassung120
6.7 Kontrollfragen und Aufgaben121
7 Informations-Sicherheit und Corporate Governance122
7.1 Management von IT-Risiken und Informations-Sicherheit122
7.1.1 IT-Governance und Informations-Sicherheit-Governance123
7.1.2 Leitfaden für Informations-Sicherheit-Governance124
7.2 Organisatorische Funktionen für Informations-Risiken128
7.2.1 Chief Information Officer (CIO)129
7.2.2 Chief (Information) Security Officer129
7.2.3 Checks and Balances durch Organisations-Struktur131
7.3 Zusammenfassung133
7.4 Kontrollfragen und Aufgaben134
8 IT-Risiko-Management in der Führungs-Pyramide136
8.1 Ebenen der IT-Risiko-Management-Führungspyramide137
8.1.1 Risiko- und Sicherheitspolitik auf der Unternehmens-Ebene137
8.1.2 Informations-Sicherheitspolitik138
8.1.3 IT-Sicherheitsweisungen und Ausführungsbestimmungen140
8.1.4 IT-Sicherheitsarchitektur und -Standards142
8.1.5 IT-Sicherheitskonzepte145
8.2 Zusammenfassung146
8.3 Kontrollfragen und Aufgaben147
9 IT-Risiko-Management mit Standard-Regelwerken148
9.1 Bedeutung der Standard-Regelwerke148
9.2 Wichtige Regelwerke der Informations-Sicherheit150
9.2.1 IT-Risiko-Bewältigung mit ISO/IEC 17799 und ISO/IEC 27001154
9.2.2 IT-Risiko-Bewältigung mit CobiT157
9.3 Zusammenfassung162
9.4 Kontrollfragen und Aufgaben163
10 Methoden und Werkzeuge zum IT-Risiko- Management164
10.1 IT-Risikomanagement mit Sicherheitskonzepten164
10.1.1 Ausgangslage168
10.1.2 Systembeschreibung und Schutzobjekte169
10.1.3 Risiko-Analyse171
10.1.4 Schwachstellen-Analyse anstelle einer Risiko-Analyse174
10.1.5 Anforderungen an die Sicherheitsmassnahmen175
10.1.6 Beschreibung der Sicherheitsmassnahmen177
10.1.7 Umsetzung der Sicherheitsmassnahmen177
10.1.8 Iterative und kooperative Ausarbeitung der Kapitel179
10.2 Die CRAMM-Methode180
10.3 Fehlermöglichkeits- und Einflussanalyse186
10.4 Fehlerbaumanalyse189
10.5 Ereignisbaum-Analyse193
10.6 Zusammenfassung195
10.7 Kontrollfragen und Aufgaben197
Teil D Unternehmens- Prozesse meistern202
11 Risiko-Management-Prozesse im Unternehmen204
11.1 Verzahnung der RM-Prozesse im Unternehmen204
11.1.1 Risiko-Konsolidierung206
11.1.2 Subsidiäre RM-Prozesse207
11.1.3 IT-RM im Gesamt-RM208
11.2 Risiko-Management im Strategie-Prozess210
11.2.1 Risiko-Management und IT-Strategie im Strategie-Prozess211
11.2.2 Periodisches Risiko-Reporting214
11.3 Zusammenfassung214
11.4 Kontrollfragen und Aufgaben215
12 Geschäftskontinuitäts-Planung und IT-Notfall- Planung218
12.1 Einzelpläne zur Unterstützung der Geschäft-Kontinuität219
12.1.1 Geschäftskontiuitäts-Plan (Business Continuity Plan)219
12.1.2 Geschäftswiedererlangungs-Plan (Business Recovery Plan)220
12.1.3 Betriebskontinuitäts-Plan (Continuity of Operations Plan)220
12.1.4 Notfall-Plan (Disaster Recovery Plan)220
12.1.5 IT-Notfall-Plan (IT Contingency Plan)221
12.1.6 Vulnerability- und Incident Response Plan221
12.2 Geschäftskontinuitäts-Planung222
12.2.1 Start Geschäftskontinuitäts-Plan223
12.2.2 Bedrohungs- und Verletzlichkeits-Analyse224
12.2.3 Geschäfts-Impact-Analyse224
12.2.4 Problemerfassung und Lagebeurteilung225
12.2.5 Kriterien für Plan-Aktivierungen226
12.2.6 Ressourcen und externe Abhängigkeiten228
12.2.7 Zusammenstellung Kontinuitäts-Plan228
12.2.8 Kommunikationskonzept230
12.2.9 Tests, Übungen und Plan-Unterhalt231
12.3 IT-Notfall-Plan, Vulnerability- und Incident-Management233
12.3.1 Organisation eines Vulnerability- und Incident-Managements235
12.3.2 Behandlung von plötzlichen Ereignissen als RM-Prozess238
12.4 Zusammenfassung239
12.5 Kontrollfragen und Aufgaben241
13 Risiko-Management im Lifecycle von Informationen und Systemen242
13.1 Schutz von Informationen im Lifecycle242
13.1.1 Einstufung der Informations-Risiken242
13.1.2 Massnahmen für die einzelnen Schutzphasen243
13.2 Risiko-Management im Lifecycle von IT-Systemen244
13.3 Synchronisation RM mit System-Lifecycle246
13.4 Zusammenfassung248
13.5 Kontrollfragen und Aufgaben249
14 Sourcing-Prozesse252
14.1 IT-Risiko-Management im Outsourcing-Vertrag253
14.1.1 Sicherheitskonzept im Outsourcing-Lifecycle255
14.1.2 Sicherheitskonzept im Insourcing-Lifecycle258
14.2 Zusammenfassung260
14.3 Kontrollfragen261
Anhang263
A.1 Beispiele von Risiko-Arten264
A.2 Muster Ausführungsbestimmung für Informationsschutz268
A.3 Formulare zur Einschätzung von IT-Risiken272
Literatur276
Abkürzungsverzeichnis280
Stichwortverzeichnis282
Geleitwort294

Weitere E-Books zum Thema: Sicherheit - IT Security

Digitale Fernsehtechnik in Theorie und Praxis

E-Book Digitale Fernsehtechnik in Theorie und Praxis
MPEG-Basiscodierung, DVB-, DAB-, ATSC-Übertragungstechnik, Messtechnik Format: PDF

Digitale Fernsehtechnik in Theorie und Praxis behandelt alle aktuellen digitalen TV-, Rundfunk- bzw. Multimedia-Standards wie MPEG, DVB, DAB, ATSC, T-DMB und ISDB-T. Das Buch setzt sich so praxisnah…

Digitale Fernsehtechnik in Theorie und Praxis

E-Book Digitale Fernsehtechnik in Theorie und Praxis
MPEG-Basiscodierung, DVB-, DAB-, ATSC-Übertragungstechnik, Messtechnik Format: PDF

Digitale Fernsehtechnik in Theorie und Praxis behandelt alle aktuellen digitalen TV-, Rundfunk- bzw. Multimedia-Standards wie MPEG, DVB, DAB, ATSC, T-DMB und ISDB-T. Das Buch setzt sich so praxisnah…

Digitale Fernsehtechnik in Theorie und Praxis

E-Book Digitale Fernsehtechnik in Theorie und Praxis
MPEG-Basiscodierung, DVB-, DAB-, ATSC-Übertragungstechnik, Messtechnik Format: PDF

Digitale Fernsehtechnik in Theorie und Praxis behandelt alle aktuellen digitalen TV-, Rundfunk- bzw. Multimedia-Standards wie MPEG, DVB, DAB, ATSC, T-DMB und ISDB-T. Das Buch setzt sich so praxisnah…

Digitale Fernsehtechnik in Theorie und Praxis

E-Book Digitale Fernsehtechnik in Theorie und Praxis
MPEG-Basiscodierung, DVB-, DAB-, ATSC-Übertragungstechnik, Messtechnik Format: PDF

Digitale Fernsehtechnik in Theorie und Praxis behandelt alle aktuellen digitalen TV-, Rundfunk- bzw. Multimedia-Standards wie MPEG, DVB, DAB, ATSC, T-DMB und ISDB-T. Das Buch setzt sich so praxisnah…

Sichere Netzwerkkommunikation

E-Book Sichere Netzwerkkommunikation
Grundlagen, Protokolle und Architekturen Format: PDF

Netzwerke werden in allen Bereichen der IT eingesetzt, und es gibt zahlreiche Technologien zur sicheren Netzwerkkommunikation. Doch welche der verfügbaren Techniken lassen sich kombinieren und in der…

Sichere Netzwerkkommunikation

E-Book Sichere Netzwerkkommunikation
Grundlagen, Protokolle und Architekturen Format: PDF

Netzwerke werden in allen Bereichen der IT eingesetzt, und es gibt zahlreiche Technologien zur sicheren Netzwerkkommunikation. Doch welche der verfügbaren Techniken lassen sich kombinieren und in der…

Sichere Netzwerkkommunikation

E-Book Sichere Netzwerkkommunikation
Grundlagen, Protokolle und Architekturen Format: PDF

Netzwerke werden in allen Bereichen der IT eingesetzt, und es gibt zahlreiche Technologien zur sicheren Netzwerkkommunikation. Doch welche der verfügbaren Techniken lassen sich kombinieren und in der…

Sichere Netzwerkkommunikation

E-Book Sichere Netzwerkkommunikation
Grundlagen, Protokolle und Architekturen Format: PDF

Netzwerke werden in allen Bereichen der IT eingesetzt, und es gibt zahlreiche Technologien zur sicheren Netzwerkkommunikation. Doch welche der verfügbaren Techniken lassen sich kombinieren und in der…

Security@Work

E-Book Security@Work
Pragmatische Konzeption und Implementierung von IT-Sicherheit mit Lösungsbeispielen auf Open-Source-Basis Format: PDF

Die Autoren erläutern die konzeptionellen und technischen Grundlagen des Themas IT-Sicherheit anhand anschaulicher Beispiele. Im Fokus stehen dabei die praktische Verwendbarkeit realitätsnaher…

Security@Work

E-Book Security@Work
Pragmatische Konzeption und Implementierung von IT-Sicherheit mit Lösungsbeispielen auf Open-Source-Basis Format: PDF

Die Autoren erläutern die konzeptionellen und technischen Grundlagen des Themas IT-Sicherheit anhand anschaulicher Beispiele. Im Fokus stehen dabei die praktische Verwendbarkeit realitätsnaher…

Weitere Zeitschriften

Arzneimittel Zeitung

Arzneimittel Zeitung

Die Arneimittel Zeitung ist die Zeitung für Entscheider und Mitarbeiter in der Pharmabranche. Sie informiert branchenspezifisch über Gesundheits- und Arzneimittelpolitik, über Unternehmen und ...

Card Forum International

Card Forum International

Card Forum International, Magazine for Card Technologies and Applications, is a leading source for information in the field of card-based payment systems, related technologies, and required reading ...

DER PRAKTIKER

DER PRAKTIKER

Technische Fachzeitschrift aus der Praxis für die Praxis in allen Bereichen des Handwerks und der Industrie. “der praktiker“ ist die Fachzeitschrift für alle Bereiche der fügetechnischen ...

SPORT in BW (Württemberg)

SPORT in BW (Württemberg)

SPORT in BW (Württemberg) ist das offizielle Verbandsorgan des Württembergischen Landessportbund e.V. (WLSB) und Informationsmagazin für alle im Sport organisierten Mitglieder in Württemberg. ...

Deutsche Hockey Zeitung

Deutsche Hockey Zeitung

Informiert über das nationale und internationale Hockey. Die Deutsche Hockeyzeitung ist Ihr kompetenter Partner für Ihren Auftritt im Hockeymarkt. Sie ist die einzige bundesweite Hockeyzeitung ...

FileMaker Magazin

FileMaker Magazin

Das unabhängige Magazin für Anwender und Entwickler, die mit dem Datenbankprogramm Claris FileMaker Pro arbeiten. In jeder Ausgabe finden Sie von kompletten Lösungsschritten bis zu ...