Sie sind hier
E-Book

IT-Risiko-Management mit System

Von den Grundlagen bis zur Realisierung - Ein praxisorientierter Leitfaden

AutorHans-Peter Königs
VerlagVieweg+Teubner (GWV)
Erscheinungsjahr2011
Seitenanzahl360 Seiten
ISBN9783834899934
FormatPDF
KopierschutzDRM
GerätePC/MAC/eReader/Tablet
Preis46,99 EUR
Der praxisbezogene Leitfaden für das IT-Risiko-Management im Unternehmen ist branchenneutral und angepasst an die aktuelle Situation der Standardisierung, der IT Governance und der aktuellen Rahmenwerke (z. B. CobiT). Systematisch werden die Risiken rund um die Informationen, IT-Systeme und IT-Dienstleistungen behandelt. Der Leser erhält alles, was zur Analyse und Bewältigung dieser Risiken methodisch erforderlich ist, um es in der Praxis sicher umsetzen zu können. Ein beispielhafter Risiko-Management-Prozess zeigt auf, wie die IT-Risiken zusammen mit anderen wichtigen Risiken in die Management-Prozesse des Unternehmens einbezogen werden. Auf diese Weise wird den Anforderungen der 'Corporate Governance' zum Wohle des Unternehmens umfassend Rechnung getragen.
In dieser 3. Auflage sind Compliance-Themen aus der Perspektive Risiko-Management wie Basel II, SOX und Schweizerisches Obligationenrecht aktualisiert. Das Geschäftskontinuitäts- und Notfall-Managements basierend auf heutigen Standards (z. B. BS 25999-x) wird vertieft behandelt. Außerdem ergänzt ein zusätzliches Kapitel die Thematik der Kosten-Nutzen-Analyse in der IT aus Risikosicht.

Hans-Peter Königs, Dipl. El. Ing. und MBA, ist Geschäftsführer der IT Risk KM Consulting GmbH sowie Dozent an der Hochschule Luzern - Wirtschaft in den Zertifikats- und Master-Studiengängen (MAS) für Information Security. Die Schwerpunkte seiner Beratertätigkeit liegen in den Bereichen IT-Risiko-Management, Geschäftskontinuitäts- und IT-Notfall-Management sowie dem Informations-Sicherheits-Management.

Kaufen Sie hier:

Horizontale Tabs

Blick ins Buch
Inhaltsverzeichnis
Vorwort zur 1. und 2. Auflage6
Vorwort zur 3. Auflage8
Inhaltsverzeichnis10
Einführung17
1.1 Warum beschäftigen wir uns mit Risiken?17
1.2 Risiken bei unternehmerischen Tätigkeiten18
1.3 Inhalt und Aufbau dieses Buchs19
Teil A Grundlagen erarbeiten21
Elemente für die Durchführung eines RisikoManagements22
2.1 Fokus und Kontext Risiko-Management23
2.2 Definition des Begriffs „Risiko“24
2.3 Anwendung Risiko-Formeln28
2.4 Subjektivität bei Einschätzung und Bewertung der Risiken29
2.5 Hilfsmittel zur Einschätzung und Bewertung der Risiken30
2.5.1 Risiko-Bewertungs-Matrix30
2.5.2 Kriterien zur Schadenseinstufung31
2.5.3 Risiko-Landkarte, Akzeptanz-Kriterien und Risiko-Portfolio35
2.5.4 Risiko-Katalog36
2.5.5 Risiko-Aggregation37
2.6 Risiko-Organisation, Kategorien und Arten von Risiken39
2.6.1 Bedrohungslisten42
2.6.2 Beispiele von Risiko-Arten42
2.7 Zusammenfassung44
2.8 Kontrollfragen und Aufgaben45
Risiko-Management als Prozess46
3.1 Festlegung Risiko-Management-Kontext48
3.2 Durchführung der Risiko-Analyse49
3.2.1 Analyse-Arten49
3.2.2 Durchführung der Risiko-Analyse in einem RM-Prozess52
3.2.3 “Value at Risk” als Risiko-Masszahl54
3.2.4 Analyse-Methoden57
3.2.5 Such-Methoden59
3.2.6 Szenario-Analyse60
3.3 Durchführung von Teil-Analysen61
3.3.1 Schwächen-Analyse61
3.3.2 Impact-Analyse62
3.4 Risiko-Bewertung63
3.5 Risiko-Bewältigung64
3.6 Risiko-Überwachung, Überprüfung und Reporting66
3.7 Risiko-Kommunikation67
3.8 Kriterien für Prozesswiederholungen68
3.9 Anwendungen eines Risiko-Management-Prozesses68
3.10 Zusammenfassung69
3.11 Kontrollfragen und Aufgaben70
Teil B Anforderungen berücksichtigen72
Risiko-Management, ein Pflichtfach der Unternehmensführung73
4.1 Risiko-Management integriert in das Führungssystem73
4.2 Corporate Governance76
4.3 Anforderungen von Gesetzgebern und Regulatoren78
4.3.1 Gesetz KonTraG in Deutschland78
4.3.2 Obligationenrecht in der Schweiz79
4.3.3 Swiss Code of best Practice for Corporate Governance81
4.3.4 Basel Capital Accord (Basel II)82
4.3.5 Sarbanes-Oxley Act (SOX) der USA90
4.3.6 EuroSOX93
4.4 Risiko-Management: Anliegen der Kunden und der Öffentlichkeit94
4.5 Hauptakteure im unternehmensweiten Risiko-Management95
4.6 Zusammenfassung98
4.7 Kontrollfragen und Aufgaben99
Risiko-Management integriert in das ManagementSystem100
5.1 Integrierter unternehmensweiter Risiko-ManagementProzess101
5.2 Normatives Management103
5.2.1 Unternehmens-Politik103
5.2.2 Unternehmens-Verfassung104
5.2.3 Unternehmens-Kultur104
5.2.4 Mission und Strategische Ziele104
5.2.5 Vision als Input des Strategischen Managements105
5.3 Strategisches Management105
5.3.1 Strategische Ziele107
5.3.2 Strategien111
5.4 Strategie-Umsetzung111
5.4.1 Strategieumsetzung mittels Balanced Scorecards (BSC)111
5.4.2 Unternehmensübergreifende BSC116
5.4.3 Balanced Scorecard und CobiT für die IT-Strategie116
5.4.4 IT-Indikatoren in der Balanced Scorecard118
5.4.5 Operatives Management (Gewinn-Management)122
5.4.6 Policies und Pläne122
5.4.7 Risikopolitische Grundsätze124
5.5 Zusammenfassung125
5.6 Kontrollfragen und Aufgaben126
Teil C IT-Risiken erkennen und bewältigen127
Informations- und IT-Risiken128
6.1 Veranschaulichung der Risikozusammenhänge am Modell128
6.2 Informationen — die risikoträchtigen Güter130
6.3 System-Ziele für den Schutz von Informationen132
6.4 Informations-Sicherheit versus IT-Sicherheit135
6.5 IT-Risiko-Management, Informations-Sicherheit und Grundschutz136
6.6 Zusammenfassung137
6.7 Kontrollfragen und Aufgaben137
Informations-Sicherheit und Corporate Governance138
7.1 Management von IT-Risiken und Informations-Sicherheit138
7.1.1 IT-Governance und Informations-Sicherheit-Governance139
7.1.2 Informations-Sicherheit-Governance141
7.2 Organisatorische Funktionen für Informations-Risiken145
7.2.1 Chief Information Officer (CIO)146
7.2.2 Chief (Information) Security Officer146
7.2.3 IT-Owner und IT-Administratoren148
7.2.4 Information Security Steering Committee149
7.2.5 Checks and Balances durch Organisations-Struktur149
7.3 Zusammenfassung152
7.4 Kontrollfragen und Aufgaben153
IT-Risiko-Management in der Führungs-Pyramide154
8.1 Ebenen der IT-Risiko-Management-Führungspyramide155
8.1.1 Risikound Sicherheits-Politik auf der Unternehmens-Ebene155
8.1.2 Informations-Sicherheits-Politik und ISMS-Politik156
8.1.3 IT-Sicherheitsweisungen und Ausführungsbestimmungen158
8.1.4 IT-Sicherheits-Architektur und -Standards160
8.1.5 IT-Sicherheitskonzepte163
8.2 Zusammenfassung164
8.3 Kontrollfragen und Aufgaben166
IT-Risiko-Management mit Standard-Regelwerken167
9.1 Bedeutung der Standard-Regelwerke167
9.2 Übersicht über wichtige Regelwerke169
9.3 Risiko-Management mit der Standard-Reihe ISO/IEC 2700x174
9.3.1 Informations-Sicherheits-Management nach ISO/IEC 27001175
9.3.2 Code of Practice ISO/IEC 27002182
9.3.3 Informations-Risiko-Management mit ISO/IEC 27005186
9.4 IT-Risiko-Management mit CobiT189
9.5 BSI-Standards und Grundschutzkataloge196
9.6 Zusammenfassung199
9.7 Kontrollfragen und Aufgaben200
Methoden und Werkzeuge zum IT-RisikoManagement201
10.1 IT-Risiko-Management mit Sicherheitskonzepten201
10.1.1 Kapitel „Ausgangslage“205
10.1.2 Kapitel „Systembeschreibung und Schutzobjekte“206
10.1.3 Kapitel „Risiko-Analyse“208
10.1.4 Schwachstellen-Analyse anstelle einer Risiko-Analyse211
10.1.5 Kapitel „Anforderungen an die Sicherheitsmassnahmen“213
10.1.6 Kapitel „Beschreibung der Sicherheitsmassnahmen“214
10.1.7 Kapitel „Umsetzung der Sicherheitsmassnahmen“215
10.1.8 Iterative und kooperative Ausarbeitung der Kapitel217
10.2 Die CRAMM-Methode218
10.3 Fehlermöglichkeitsund Einfluss-Analyse224
10.4 Fehlerbaum-Analyse226
10.5 Ereignisbaum-Analyse231
10.6 Zusammenfassung232
10.7 Kontrollfragen und Aufgaben235
Kosten/Nutzen-Relationen der Risikobewältigung239
11.1 Formel für Return on Security Investments (ROSI)241
11.2 Ermittlung der Kosten für die Sicherheitsmassnahmen243
11.3 Ermittlung der Kosten der bewältigten Risiken246
11.4 Massnahmen-Nutzen ausgerichtet an Unternehmenszielen247
11.4.1 Grundzüge von Val IT249
11.4.2 Grundzüge von Risk IT251
11.5 Fazit zu Ansätzen der Sicherheits-Nutzen-Bestimmung254
11.6 Zusammenfassung254
11.7 Kontrollfragen und Aufgaben257
Teil D Unternehmens-Prozesse meistern258
Risiko-Management-Prozesse im Unternehmen259
12.1 Verzahnung der RM-Prozesse im Unternehmen259
12.1.1 Risiko-Konsolidierung261
12.1.2 Subsidiäre RM-Prozesse262
12.1.3 IT-RM und Rollenkonzepte im Gesamt-RM264
12.2 Risiko-Management im Strategie-Prozess266
12.2.1 Risiko-Management und IT-Strategie im Strategie-Prozess267
12.2.2 Periodisches Risiko-Reporting270
12.3 Zusammenfassung270
12.4 Kontrollfragen und Aufgaben271
Geschäftskontinuitäts-Management und IT-NotfallPlanung273
13.1 Einzelpläne zur Unterstützung der Geschäftskontinuität274
13.1.1 Geschäftskontinuitäts-Plan (Business Continuity Plan)275
13.1.2 Betriebskontinuitäts-Plan (Continuity of Operations Plan)277
13.1.3 Ausweichplan (Disaster Recovery Plan)277
13.1.4 IT-Notfall-Plan (IT Contingency Plan)278
13.1.5 Vulnerabilityund Incident Response Plan278
13.2 Business Continuity Mangement im Risk Management279
13.2.1 Start Gechäftskontinuitäts-Prozess281
13.2.2 Kontinuitäts-Analyse282
13.2.3 Massnahmen-Strategien285
13.2.4 Notfall-Reaktionen und Pläne287
13.2.4.1 Krisenmanagement287
13.2.4.2 Kriterien für Plan-Aktivierungen291
13.2.4.3 Ressourcen und externe Abhängigkeiten292
13.2.4.4 Plan-Zusammenstellung293
13.2.4.5 Kommunikationskonzept294
13.2.5 Tests, Übungen und Plan-Unterhalt295
13.2.5.1 Tests295
13.2.5.2 Übungsvorbereitungen und -Durchführungen296
13.2.6 Kontinuitäts-Überwachung, -Überprüfung und -Reporting298
13.3 IT-Notfall-Plan, Vulnerabilityund Incident-Management299
13.3.1 Organisation eines Vulnerabilityund Incident-Managements302
13.3.2 Behandlung von plötzlichen Ereignissen als RM-Prozess304
13.4 Zusammenfassung305
13.5 Kontrollfragen und Aufgaben307
Risiko-Management im Lifecycle von Informationen und Systemen309
14.1 Schutz von Informationen im Lifecycle309
14.1.1 Einstufung der Informations-Risiken309
14.1.2 Massnahmen für die einzelnen Schutzphasen310
14.2 Risiko-Management im Lifecycle von IT-Systemen311
14.3 Synchronisation RM mit System-Lifecycle313
14.4 Zusammenfassung315
14.5 Kontrollfragen und Aufgaben316
Risiko-Management in Outsourcing-Prozessen318
15.1 IT-Risiko-Management im Outsourcing-Vertrag319
15.1.1 Sicherheitskonzept im Sourcing-Lifecycle320
15.1.2 Sicherheitskonzept beim Dienstleister324
15.2 Zusammenfassung326
15.3 Kontrollfragen327
Anhang328
A.1 Beispiele von Risiko-Arten329
A.2 Muster Ausführungsbestimmung für Informationsschutz333
A.3 Formulare zur Einschätzung von IT-Risiken337
A.4 Beispiele zur Aggregation von operationellen Risiken341
A.4.1 Beispiel der Bildung eines VAR durch Vollenumeration341
A.4.2 Beispiele für Verteilung von Verlusthöhen und Verlustanzahl343
A.4.3 Aggregation mittels Monte-Carlo Methode344
Literatur345
Abkürzungsverzeichnis351
Stichwortverzeichnis353

Weitere E-Books zum Thema: Nachschlagewerke Wirtschaft - Wirtschaftswissenschaften

Informationsmanagement

E-Book Informationsmanagement
Format: PDF

Informationsmanagement hat die Aufgabe, den für das Unternehmensziel bestmöglichen Einsatz der Ressource Information zu gewährleisten. Das Buch zeigt, dass Informations- und Kommunikationstechniken…

Informationsmanagement

E-Book Informationsmanagement
Format: PDF

Informationsmanagement hat die Aufgabe, den für das Unternehmensziel bestmöglichen Einsatz der Ressource Information zu gewährleisten. Das Buch zeigt, dass Informations- und Kommunikationstechniken…

Geschäftsprozesse

E-Book Geschäftsprozesse
Modell- und computergestützte Planung Format: PDF

Das Buch zeigt konkret und systematische wie Prozesse konzipiert, erfasst, geändert oder optimiert werden können. Einfache Beispiele und Übungen veranschaulichen die Ausführungen zum Thema. NEU…

Geschäftsprozesse

E-Book Geschäftsprozesse
Modell- und computergestützte Planung Format: PDF

Das Buch zeigt konkret und systematische wie Prozesse konzipiert, erfasst, geändert oder optimiert werden können. Einfache Beispiele und Übungen veranschaulichen die Ausführungen zum Thema. NEU…

Geschäftsprozesse

E-Book Geschäftsprozesse
Modell- und computergestützte Planung Format: PDF

Das Buch zeigt konkret und systematische wie Prozesse konzipiert, erfasst, geändert oder optimiert werden können. Einfache Beispiele und Übungen veranschaulichen die Ausführungen zum Thema. NEU…

Geschäftsprozesse

E-Book Geschäftsprozesse
Modell- und computergestützte Planung Format: PDF

Das Buch zeigt konkret und systematische wie Prozesse konzipiert, erfasst, geändert oder optimiert werden können. Einfache Beispiele und Übungen veranschaulichen die Ausführungen zum Thema. NEU…

Weitere Zeitschriften

AUTOCAD & Inventor Magazin

AUTOCAD & Inventor Magazin

FÜHREND - Das AUTOCAD & Inventor Magazin berichtet seinen Lesern seit 30 Jahren ausführlich über die Lösungsvielfalt der SoftwareLösungen des Herstellers Autodesk. Die Produkte gehören zu ...

Berufsstart Bewerbung

Berufsstart Bewerbung

»Berufsstart Bewerbung« erscheint jährlich zum Wintersemester im November mit einer Auflage von 50.000 Exemplaren und ermöglicht Unternehmen sich bei Studenten und Absolventen mit einer ...

BMW Magazin

BMW Magazin

Unter dem Motto „DRIVEN" steht das BMW Magazin für Antrieb, Leidenschaft und Energie − und die Haltung, im Leben niemals stehen zu bleiben.Das Kundenmagazin der BMW AG inszeniert die neuesten ...

ea evangelische aspekte

ea evangelische aspekte

evangelische Beiträge zum Leben in Kirche und Gesellschaft Die Evangelische Akademikerschaft in Deutschland ist Herausgeberin der Zeitschrift evangelische aspekte Sie erscheint viermal im Jahr. In ...

Eishockey NEWS

Eishockey NEWS

Eishockey NEWS bringt alles über die DEL, die DEL2, die Oberliga sowie die Regionalligen und Informationen über die NHL. Dazu ausführliche Statistiken, Hintergrundberichte, Personalities ...

Euro am Sonntag

Euro am Sonntag

Deutschlands aktuelleste Finanz-Wochenzeitung Jede Woche neu bietet €uro am Sonntag Antworten auf die wichtigsten Fragen zu den Themen Geldanlage und Vermögensaufbau. Auch komplexe Sachverhalte ...

FileMaker Magazin

FileMaker Magazin

Das unabhängige Magazin für Anwender und Entwickler, die mit dem Datenbankprogramm Claris FileMaker Pro arbeiten. In jeder Ausgabe finden Sie von kompletten Lösungsschritten bis zu ...