Sie sind hier
E-Book

IT-Risiko-Management mit System

Von den Grundlagen bis zur Realisierung - Ein praxisorientierter Leitfaden

AutorHans-Peter Königs
VerlagVieweg+Teubner (GWV)
Erscheinungsjahr2007
Seitenanzahl280 Seiten
ISBN9783834890627
FormatPDF
KopierschutzDRM
GerätePC/MAC/eReader/Tablet
Preis36,99 EUR
Der praxisbezogene Leitfaden für das IT-Risiko-Management im Unternehmen. Systematisch werden die Risiken rund um die Informationen, IT-Systeme und IT-Dienstleistungen behandelt. Der Leser erhält alles, was zur Analyse und Bewältigung dieser Risiken methodisch erforderlich ist, um es in der Praxis sicher umsetzen zu können. Ein beispielhafter Risiko-Management-Prozess zeigt auf, wie die IT-Risiken zusammen mit anderen wichtigen Risiken in die Management-Prozesse des Unternehmens einbezogen werden. Auf diese Weise wird den Anforderungen der 'Corporate Governance' zum Wohle des Unternehmens umfassend Rechnung getragen.
'Lesenswert sind besonders die Kapitel zu Methoden des IT-Risikomanagements sowie zur IT-Notfallplanung.'
Managementkompass, F.A.Z.-Institut, Juni 2007

Hans-Peter Königs, Dipl. El. Ing. und MBA, ist Corporate Security Officer der Telekurs Group in Zürich sowie Dozent an der Hochschule für Wirtschaft HSW Luzern in den Master-Studiengängen 'MAS Information Security' und 'MAS Risk Management'.

Kaufen Sie hier:

Horizontale Tabs

Leseprobe
7 Informations-Sicherheit und Corporate Governance (S. 109-110)

Zum IT-Risiko-Management gehören an vorderster Stelle die Führungsaspekte, die in der Governance, der Aufbauorganisation und den Führungsinstrumenten zum Ausdruck kommen. Im Teil B dieses Buches haben wir bereits die Anforderungen eines Unternehmens-Risiko-Managements aus der Sicht der Corporate- Covernance behandelt. Bevor wir uns nun den Inhalten, Methoden und Verfahren des IT-Risiko-Managements widmen, halten wir fest, wo das für ein Unternehmen immer wichtiger werdende IT-Risiko-Management im Verhältnis zur Disziplin „ITSicherheit" zu positionieren ist. Weiter werden die für ein IT-Risiko-Management wesentlichen Aspekte der IT-Governance und Informations-Sicherheits- Governance aufgezeigt. Management von IT-Risiken und Informations-Sicherheit Aus der Sicht „IT-Sicherheit" gilt es festzuhalten, dass hundertprozentige Sicherheit nicht möglich ist.

Um über die Höhe der Sicherheit überhaupt eine Aussage machen zu können, kommt das Risiko als ein Mass für die „Unsicherheit" zur Anwendung. Aussagen über das Mass der nicht erreichten Sicherheit machen zu können, wird umso wichtiger, wenn es darum geht, die Kosten von Massnahmen gegen ihren Nutzen, sprich Risiko- Verminderung, abzuwägen. Werden Budgets für Sicherheitsmassnahmen bei der Geschäftsleitung eines Unternehmens beantragt, dann sind die Massnahmenkosten vermehrt mit dem zu erzielenden Nutzen zu begründen. Bei der Nutzen-Argumentation genügt meist eine Erläuterung der vorhandenen Bedrohungen nicht, sondern es müssen anhand von Szenarien die eingeschätzten und nach unternehmesspezifischen Kriterien bewerteten Risiken aufgezeigt werden können.

Der Prozess der IT-Sicherheit im Unternehmen wird damit zum Risiko-Management-Prozess und beginnt bei der Identifikation und Einschätzung der für das Unternehmen relevanten Risiken. Auch der Umgang mit IT-Risiken, z.B. wie hohe Restrisiken toleriert und inwieweit und in welcher Art die Massnahmen ergriffen werden, fallen in die Prozess-Schritte „Risiko-Bewertung" und der Definition von „Bewältigungsstrategien" (s. Kapitel 3). In der Realität hat also die Disziplin „Informations-Sicherheit" nicht die Aufgabe „Sicherheit per se" zu erzeugen, sondern die zum Teil wechselnden Risikosituationen im Zusammenhang mit Informationen in einem ständigen Prozess festzustellen und den Umständen entsprechend angemessen zu bewältigen. Aus den strategischen Optionen „Risiken verhindern", „- reduzieren", „-transferieren" oder „- selbst tragen" wird klar, dass das ITRisiko- Management, wie auch jedes andere Risiko-Management, in einem Unternehmen nicht die alleinige Aufgabe einer Fachabteilung sein kann, sondern eine strategische Aufgabe des Unternehmens ist.

IT-Risiko-Management ist somit ein integraler Teil guter Corporate Governance und Management-Praxis und leitet sich von den Wertvorstellungen, der Politik, den Strategien und Zielen des Unternehmens ab. Dies schliesst nicht aus, dass IT-Risiko- Management unmittelbar an den einzelnen Objekten (z.B. an den Informationenbeständen, Systemen, Handlings, Prozessen, Projekten), durchgeführt werden muss und dort Teil der Disziplin „IT-Sicherheit" ist. Doch kann die Frage über das notwendige Mass an Sicherheit letztlich nur über das eingeschätzte und im Kontext bewertete Risiko beantwortet werden. Die Leistung der „IT-Sicherheit" äussert sich daher vor allem in einem an den Geschäfts-Strategien und -Zielen ausgerichteten ITRisiko- Management, welches die Risiken und Massnahmenkosten im Geschäftskontext optimiert. IT-Governance und Informations-Sicherheit-Governance Das IT-Governance Institut, gegründet durch die „Information and Systems Audit and Control Association" (ISACA) widmet sich der IT-Governance, indem es Richtlinien, Frameworks und Berichte erstellt sowie Befragungen zum aktuellen Stand der ITGovernance durchführt.
Inhaltsverzeichnis
Vorwort6
Inhaltsverzeichnis8
1 Einführung14
1.1 Warum beschäftigen wir uns mit Risiken?14
1.2 Risiken bei unternehmerischen Tätigkeiten15
1.3 Inhalt und Aufbau dieses Buchs16
Teil A Grundlagen erarbeiten19
2 Elemente für die Durchführung eines Risiko- Managements20
2.1 Fokus und Kontext Risiko-Management21
2.2 Definition des Begriffs „Risiko“22
2.3 Anwendung der Risiko-Formel25
2.4 Subjektivität bei der Risiko-Einschätzung26
2.5 Hilfsmittel zur Risiko-Einschätzung26
2.5.1 Risiko-Matrix26
2.5.2 Schadenseinstufung28
2.5.3 Risiko-Karte und Risiko-Portfolio30
2.5.4 Risiko-Katalog31
2.5.5 Risiko-Aggregierung32
2.6 Risiko-Kategorien, Risiko-Arten und Top-Down-Vorgehen33
2.6.1 Bedrohungslisten34
2.6.2 Beispiele von Risiko-Arten35
2.7 Zusammenfassung37
2.8 Kontrollfragen und Aufgaben38
3 Risiko-Management als Prozess40
3.1 Festlegung Risiko-Management-Kontext42
3.2 Durchführung der Risiko-Analyse43
3.2.1 Analyse-Arten43
3.2.2 Durchführung der Risiko-Analyse in einem RM-Prozess45
3.2.3 Value at Risk-Methode47
3.2.4 Analyse-Methoden49
3.2.5 Such-Methoden51
3.2.6 Szenarien-Analyse52
3.3 Durchführung von Teil-Analysen52
3.3.1 Schwächen-Analyse52
3.3.2 Impact-Analyse53
3.4 Risiko-Bewertung54
3.5 Risiko-Bewältigung55
3.6 Risiko-Kontrolle und -Reporting57
3.7 Risiko-Kommunikation58
3.8 Anwendungen eines Risiko-Management-Prozesses58
3.9 Zusammenfassung59
3.10 Kontrollfragen und Aufgaben60
Teil B Anforderungen berücksichtigen62
4 Risiko-Management, ein Pflichtfach der Unternehmensführung64
4.1 Corporate Governance65
4.2 Anforderungen von Gesetzgebern und Regulatoren67
4.2.1 Gesetz KonTraG in Deutschland67
4.2.2 Obligationenrecht in der Schweiz68
4.2.3 Swiss Code of best Practice for Corporate Governance69
4.2.4 Basel Capital Accord (Basel II)70
4.2.5 Sarbanes-Oxley Act (SOX) der USA73
4.3 Risiko-Management: Anliegen der Kunden und Öffentlichkeit75
4.4 Hauptakteure im unternehmensweiten Risiko-Management76
4.5 Zusammenfassung79
4.6 Kontrollfragen und Aufgaben80
5 Risiko-Management integriert in das Management- System82
5.1 Integrativer Risiko-Management-Prozess83
5.2 Normatives Management85
5.2.1 Unternehmenspolitik85
5.2.2 Unternehmensverfassung85
5.2.3 Unternehmenskultur86
5.2.4 Mission und Strategische Ziele86
5.2.5 Vision als Input des Strategischen Managements87
5.3 Strategisches Management87
5.3.1 Strategische Ziele89
5.3.2 Strategien93
5.4 Strategie-Umsetzung93
5.4.1 Strategieumsetzung mittels Balanced Scorecards (BSC)93
5.4.2 Unternehmensübergreifende BSC98
5.4.3 Balanced Scorecard und CobiT für die IT-Strategie98
5.4.4 IT-Indikatoren in der Balanced Score Card100
5.4.5 Operatives Management (Gewinn-Management)104
5.4.6 Policies und Pläne104
5.4.7 Risikopolitische Grundsätze106
5.5 Zusammenfassung107
5.6 Kontrollfragen und Aufgaben108
Teil C IT-Risiken erkennen und bewältigen110
6 Informations- und IT-Risiken112
6.1 Veranschaulichung der Risikozusammenhänge am Modell112
6.2 Informationen — die risikoträchtigen Güter114
6.3 Systemziele für den Schutz von Informationen116
6.4 Informations-Sicherheit versus IT-Sicherheit118
6.5 IT-Risikomanagement, IT-Sicherheit und Grundschutz119
6.6 Zusammenfassung120
6.7 Kontrollfragen und Aufgaben121
7 Informations-Sicherheit und Corporate Governance122
7.1 Management von IT-Risiken und Informations-Sicherheit122
7.1.1 IT-Governance und Informations-Sicherheit-Governance123
7.1.2 Leitfaden für Informations-Sicherheit-Governance124
7.2 Organisatorische Funktionen für Informations-Risiken128
7.2.1 Chief Information Officer (CIO)129
7.2.2 Chief (Information) Security Officer129
7.2.3 Checks and Balances durch Organisations-Struktur131
7.3 Zusammenfassung133
7.4 Kontrollfragen und Aufgaben134
8 IT-Risiko-Management in der Führungs-Pyramide136
8.1 Ebenen der IT-Risiko-Management-Führungspyramide137
8.1.1 Risiko- und Sicherheitspolitik auf der Unternehmens-Ebene137
8.1.2 Informations-Sicherheitspolitik138
8.1.3 IT-Sicherheitsweisungen und Ausführungsbestimmungen140
8.1.4 IT-Sicherheitsarchitektur und -Standards142
8.1.5 IT-Sicherheitskonzepte145
8.2 Zusammenfassung146
8.3 Kontrollfragen und Aufgaben147
9 IT-Risiko-Management mit Standard-Regelwerken148
9.1 Bedeutung der Standard-Regelwerke148
9.2 Wichtige Regelwerke der Informations-Sicherheit150
9.2.1 IT-Risiko-Bewältigung mit ISO/IEC 17799 und ISO/IEC 27001154
9.2.2 IT-Risiko-Bewältigung mit CobiT157
9.3 Zusammenfassung162
9.4 Kontrollfragen und Aufgaben163
10 Methoden und Werkzeuge zum IT-Risiko- Management164
10.1 IT-Risikomanagement mit Sicherheitskonzepten164
10.1.1 Ausgangslage168
10.1.2 Systembeschreibung und Schutzobjekte169
10.1.3 Risiko-Analyse171
10.1.4 Schwachstellen-Analyse anstelle einer Risiko-Analyse174
10.1.5 Anforderungen an die Sicherheitsmassnahmen175
10.1.6 Beschreibung der Sicherheitsmassnahmen177
10.1.7 Umsetzung der Sicherheitsmassnahmen177
10.1.8 Iterative und kooperative Ausarbeitung der Kapitel179
10.2 Die CRAMM-Methode180
10.3 Fehlermöglichkeits- und Einflussanalyse186
10.4 Fehlerbaumanalyse189
10.5 Ereignisbaum-Analyse193
10.6 Zusammenfassung195
10.7 Kontrollfragen und Aufgaben197
Teil D Unternehmens- Prozesse meistern202
11 Risiko-Management-Prozesse im Unternehmen204
11.1 Verzahnung der RM-Prozesse im Unternehmen204
11.1.1 Risiko-Konsolidierung206
11.1.2 Subsidiäre RM-Prozesse207
11.1.3 IT-RM im Gesamt-RM208
11.2 Risiko-Management im Strategie-Prozess210
11.2.1 Risiko-Management und IT-Strategie im Strategie-Prozess211
11.2.2 Periodisches Risiko-Reporting214
11.3 Zusammenfassung214
11.4 Kontrollfragen und Aufgaben215
12 Geschäftskontinuitäts-Planung und IT-Notfall- Planung218
12.1 Einzelpläne zur Unterstützung der Geschäft-Kontinuität219
12.1.1 Geschäftskontiuitäts-Plan (Business Continuity Plan)219
12.1.2 Geschäftswiedererlangungs-Plan (Business Recovery Plan)220
12.1.3 Betriebskontinuitäts-Plan (Continuity of Operations Plan)220
12.1.4 Notfall-Plan (Disaster Recovery Plan)220
12.1.5 IT-Notfall-Plan (IT Contingency Plan)221
12.1.6 Vulnerability- und Incident Response Plan221
12.2 Geschäftskontinuitäts-Planung222
12.2.1 Start Geschäftskontinuitäts-Plan223
12.2.2 Bedrohungs- und Verletzlichkeits-Analyse224
12.2.3 Geschäfts-Impact-Analyse224
12.2.4 Problemerfassung und Lagebeurteilung225
12.2.5 Kriterien für Plan-Aktivierungen226
12.2.6 Ressourcen und externe Abhängigkeiten228
12.2.7 Zusammenstellung Kontinuitäts-Plan228
12.2.8 Kommunikationskonzept230
12.2.9 Tests, Übungen und Plan-Unterhalt231
12.3 IT-Notfall-Plan, Vulnerability- und Incident-Management233
12.3.1 Organisation eines Vulnerability- und Incident-Managements235
12.3.2 Behandlung von plötzlichen Ereignissen als RM-Prozess238
12.4 Zusammenfassung239
12.5 Kontrollfragen und Aufgaben241
13 Risiko-Management im Lifecycle von Informationen und Systemen242
13.1 Schutz von Informationen im Lifecycle242
13.1.1 Einstufung der Informations-Risiken242
13.1.2 Massnahmen für die einzelnen Schutzphasen243
13.2 Risiko-Management im Lifecycle von IT-Systemen244
13.3 Synchronisation RM mit System-Lifecycle246
13.4 Zusammenfassung248
13.5 Kontrollfragen und Aufgaben249
14 Sourcing-Prozesse252
14.1 IT-Risiko-Management im Outsourcing-Vertrag253
14.1.1 Sicherheitskonzept im Outsourcing-Lifecycle255
14.1.2 Sicherheitskonzept im Insourcing-Lifecycle258
14.2 Zusammenfassung260
14.3 Kontrollfragen261
Anhang263
A.1 Beispiele von Risiko-Arten264
A.2 Muster Ausführungsbestimmung für Informationsschutz268
A.3 Formulare zur Einschätzung von IT-Risiken272
Literatur276
Abkürzungsverzeichnis280
Stichwortverzeichnis282
Geleitwort294

Weitere E-Books zum Thema: Sicherheit - IT Security

Hacking für Manager

E-Book Hacking für Manager
Was Manager über IT-Sicherheit wissen müssen. Die Tricks der Hacker. Format: PDF

Die Technik, die uns heute überschwemmt, lässt uns gar keine Chance mehr, alles so abzusichern, dass wir auch wirklich sicher sind. Lernen Sie die Waffen Ihrer Gegner und Ihre eigenen…

Trust in IT

E-Book Trust in IT
Wann vertrauen Sie Ihr Geschäft der Internet-Cloud an? Format: PDF

Cloud Computing ist der nächste Paradigmenwechsel in der IT - weg von starren IT-Infrastrukturen hin zur dynamischen Nutzung von IT-Ressourcen. Beim Cloud Computing nutzen Unternehmen Hardware,…

Ich glaube, es hackt!

E-Book Ich glaube, es hackt!
Ein Blick auf die irrwitzige Realität der IT-Sicherheit Format: PDF

Die Technik, die uns heute überschwemmt, lässt uns gar keine Chance mehr, alles so abzusichern, dass wir auch wirklich sicher sind. Lernen Sie die Waffen Ihrer Gegner und Ihre eigenen…

Cybersecurity Best Practices

E-Book Cybersecurity Best Practices
Lösungen zur Erhöhung der Cyberresilienz für Unternehmen und Behörden Format: PDF

Das Thema Cybersecurity ist so aktuell wie nie, denn im Cyberspace lassen sich nur schwer Grenzen in Bezug auf den Zugang zu Informationen, Daten und Redefreiheit setzen. Kriminelle nutzen die Lücken…

Security Awareness

E-Book Security Awareness
Grundlagen, Maßnahmen und Programme für die Informationssicherheit - De Gruyter STEM  Format: ePUB

Die Awareness für Informationssicherheit gewinnt aufgrund einer steigenden Bedrohungslage und immer strengerer Compliance-Anforderungen zunehmend an Bedeutung. Das Buch bietet eine fundierte…

Trust in IT

E-Book Trust in IT
Wann vertrauen Sie Ihr Geschäft der Internet-Cloud an? Format: PDF

Cloud Computing ist der nächste Paradigmenwechsel in der IT - weg von starren IT-Infrastrukturen hin zur dynamischen Nutzung von IT-Ressourcen. Beim Cloud Computing nutzen Unternehmen Hardware,…

INFORMATIONSSICHERHEIT kompakt, effizient und unter Kontrolle

E-Book INFORMATIONSSICHERHEIT kompakt, effizient und unter Kontrolle
Praxisorientierte Prinzipien für ein profitables und effizientes Security-Management und -Controlling für Unternehmen Format: ePUB

In der Lektüre 'INFORMATIONSSICHERHEIT - kompakt, effizient und unter Kontrolle' sind alle wesentlichen Aspekte der Standardliteratur extrahiert, zusammengefasst und leicht verständlich formuliert.…

Weitere Zeitschriften

Augenblick mal

Augenblick mal

Die Zeitschrift mit den guten Nachrichten "Augenblick mal" ist eine Zeitschrift, die in aktuellen Berichten, Interviews und Reportagen die biblische Botschaft und den christlichen Glauben ...

Berufsstart Gehalt

Berufsstart Gehalt

»Berufsstart Gehalt« erscheint jährlich zum Sommersemester im Mai mit einer Auflage von 50.000 Exemplaren und ermöglicht Unternehmen sich bei Studenten und Absolventen mit einer ...

BIELEFELD GEHT AUS

BIELEFELD GEHT AUS

Freizeit- und Gastronomieführer mit umfangreichem Serviceteil, mehr als 700 Tipps und Adressen für Tag- und Nachtschwärmer Bielefeld genießen Westfälisch und weltoffen – das zeichnet nicht ...

CE-Markt

CE-Markt

 Das Fachmagazin für Consumer-Electronics & Home Technology Products Telefónica O2 Germany startet am 15. Oktober die neue O2 Handy-Flatrate. Der Clou: Die Mindestlaufzeit des Vertrages ...

Die Großhandelskaufleute

Die Großhandelskaufleute

Prüfungs- und Praxiswissen für Großhandelskaufleute Mehr Erfolg in der Ausbildung, sicher in alle Prüfungen gehen, im Beruf jeden Tag überzeugen: „Die Großhandelskaufleute“ ist die ...

dima

dima

Bau und Einsatz von Werkzeugmaschinen für spangebende und spanlose sowie abtragende und umformende Fertigungsverfahren. dima - die maschine - bietet als Fachzeitschrift die Kommunikationsplattform ...

Evangelische Theologie

Evangelische Theologie

 Über »Evangelische Theologie« In interdisziplinären Themenheften gibt die Evangelische Theologie entscheidende Impulse, die komplexe Einheit der Theologie wahrzunehmen. Neben den ...

FileMaker Magazin

FileMaker Magazin

Das unabhängige Magazin für Anwender und Entwickler, die mit dem Datenbankprogramm FileMaker Pro arbeiten. In jeder Ausgabe finden Sie praxiserprobte Tipps & Tricks, die Ihnen sofort die ...