Sie sind hier
E-Book

Management operationaler IT- und Prozess-Risiken

Methoden für eine Risikobewältigungsstrategie

AutorKarlheinz H. W. Thies
VerlagSpringer-Verlag
Erscheinungsjahr2008
Seitenanzahl148 Seiten
ISBN9783540690078
FormatPDF
KopierschutzDRM
GerätePC/MAC/eReader/Tablet
Preis22,99 EUR

Das Buch behandelt praxisbezogene Methoden zur Analyse und Steuerung operationaler IT-Risiken entsprechend der Anforderungen im Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG). Präsentiert werden zudem Konzepte für den Aufbau und den Ablauf einer Notfall- und Krisenorganisation in Unternehmen sowie Verfahren zur Prävention und Durchführung von Übungen im Not- oder Katastrophenfall. Zu den Praxisbeispielen werden Checklisten zur Verfügung gestellt, die als Referenz bei der Erstellung eigener Dokumente dienen.



Karlheinz Thies, geb. 1952, studierte Informatik an der Fachhochschule in Dortmund. Danach war er in unterschiedlichen Firmen als Projektmitarbeiter, Projektleiter, Teamleiter und Geschäftsführer tätig, wobei seine Aufgaben immer bereichsübergreifend waren oder sogar das Gesamtunternehmen betraf. Im Rahmen seiner Tätigkeit bei einer Großbank beschäftigte er sich seit 1994 mit dem Themen IT-, RZ-Sicherheit und Notfallplanung. Er übernahm im 'Y2K-Projekt' das Thema 'Notfall- und Kontinuitätsplanung' für den Rollover. Danach hatte er die Projektleitung für das Projekt 'Notfall- und Kontinuitätsmanagement'. In diesem Projekt wurden Methoden und Verfahren entwickelt und in der Praxis angewandt, wobei die Risikoanalyse operationaler IT-Risiken und die Vorgehensweise bei Notfall- und Katastrophenübungen zu erwähnen sind. Fusionsbedingt änderte sich der Schwerpunkt der Projektarbeit 2002 mehr in die Richtung technischer IT- Sicherheit, wobei hier entsprechende IT-Policies entwickelt und in Kraft gesetzt wurden. Danach wechselte Herr Thies zu einer neu gegründeten Wertpapierabwicklungsbank, wo er die Aufgabe eines Teamleiters 'Sicherheit Gesamtbank' übernahm. Seit 2003 ist Herr Thies als Unternehmensberater tätig und hat seit 2004 eine stetige Lehrtätigkeit an zwei Fachhochschulen übernommen, wo er Vorlesungen über Projekt- und Qualitätsmanagement hält.

Kaufen Sie hier:

Horizontale Tabs

Blick ins Buch
Inhaltsverzeichnis
Vorwort6
Inhalt8
Einführung13
IT-Sicherheitspolicy14
2.1 Einordnung der IT-Sicherheitspolicy14
2.2 Definition des Geltungsbereichs14
2.3 Sicherheitsgrundsätze15
2.3.1 Sicherheitsgrundsatz 1: Unternehmensziel15
2.3.2 Sicherheitsgrundsatz 2: Schadensvermeidung15
2.3.3 Sicherheitsgrundsatz 3: Sicherheitsbewusstsein16
2.3.4 Sicherheitsgrundsatz 4: Gesetzliche, aufsichtsrechtliche und vertragliche Pflichten16
2.3.5 Sicherheitsgrundsatz 5: Maßnahmen gemäß allgemeingültiger Sicherheitsstandards17
2.3.6 Sicherheitsgrundsatz 6: Aufrechterhaltung des Geschäftsbetriebes17
2.3.7 Sicherheitsgrundsatz 7: Sicherheitsarchitektur18
2.4 Verantwortlichkeiten18
2.4.1 Geschäftsführung und Management18
2.4.2 Sicherheitsorganisation19
2.4.3 Mitarbeiter21
2.5 Umsetzung21
2.5.1 Sicherheitsarchitektur21
2.5.2 Aufgabengebiete23
2.5.3 Kontrolle23
Operationale Risiken25
3.1 Grundbetrachtung der operationalen Risiken25
3.1.1 Warum sind die operationalen Risiken für ein Unternehmenzu berücksichtigen?25
3.1.2 Übersicht Risiken26
3.1.3 Gesetzliche und „quasigesetzliche“ Vorgaben28
3.1.4 KonTraG (u. a. Änderungen des AktG und des HGB)28
Aufbau eines Managements operationaler IT- Risiken31
4.1 IT-Risikobetrachtung über ein Schichtenmodell31
4.2 Welche Sicherheit ist angemessen?32
4.3 Grobe Vorgehensweise für ein Risikomanagement33
4.3.1 Das „operationale Risiko“33
4.3.2 Aktualisierung der Werte des operationalen Risikos33
4.3.3 Rollierender Report „Operationales Risiko“34
4.4 Rahmen für Risikoeinschätzung operationaler Risiken34
4.4.1 Definitionen34
4.4.2 Schutzbedürftigkeitsskalen36
4.4.3 Feststellung des Schutzbedarfs40
4.4.4 Qualitative Risikoeinschätzung einzelner Produkte40
4.4.5 Quantitative Risikoeinschätzung eines Produktes44
4.4.6 Steuerung der operationalen Risiken45
4.4.7 Aufbau des Reporting mit Darstellung der Risiken auf Prozess-/ Produktebene46
4.4.8 Risikodarstellung der Prozesse/Anwendungen in einem Risikoportfolio47
4.4.9 Risikobewältigungsstrategien48
4.5 Risikomanagement operationaler Risiken48
Strukturierte Risikoanalyse50
5.1 Schwachstellenanalyse und Risikoeinschätzung für die einzelnen IT- Systeme/ Anwendungen mit der Methode FMEA50
5.1.1 Übersicht50
5.1.2 Kurzbeschreibung der Methode51
5.1.3 Begriffsbestimmung52
5.1.4 Anwendung der Methode FMEA53
5.2 Strukturierte Risikoanalyse (smart scan)61
5.2.1 Generelle Vorgehensweise61
5.2.2 Übersicht über die Klassifizierung und Einschätzung62
5.2.3 Feststellung des Schutzbedarfs63
5.2.4 Checkliste Feststellung der Schutzbedarfsklasse bei Prozessen/ Anwendungen63
5.2.5 Checkliste Feststellung Schutzbedarfsklassen bei IT- Systemen/ IT- Infrastruktur65
5.2.6 Ermittlung des Gesamtschutzbedarfs67
5.2.7 Feststellung der Grundsicherheit von IT-Komponenten und Infrastruktur68
5.2.8 Feststellung der Sicherheit und Verfügbarkeit von Anwendungen70
5.2.9 Feststellung der Risikovorsorge72
5.2.10 Feststellung des Risikos73
5.2.11 Zuordnung und Bewertung der Risikoanalyse für die FMEA73
5.2.12 Überführung der Bewertung in die FMEA74
Das IT-Security & Contingency Management76
6.1 Warum IT-Security & Contingency Management?76
6.2 Risiken im Fokus des IT-Security & Contingency Managements77
6.3 Aufbau und Ablauforganisation des IT-Security & Contingency Managements77
6.3.1 Zuständigkeiten77
6.3.2 Aufbauorganisation78
6.3.3 Teamleitung IT-Security & Contingency Management79
6.3.4 Rolle: Security & Prevention IT-Systeme/Infrastruktur79
6.3.5 Rolle: Contingency Management Fachbereichsbetreuung79
6.3.6 Rolle: IT-Risikosteuerung80
6.3.7 Schnittstellen zu anderen Bereichen80
6.3.8 Besondere Aufgaben83
6.3.9 Anforderungsprofil an Mitarbeiter des IT-Security & Contingency Managements84
IT-Krisenorganisation90
7.1 Aufbauorganisation des IT-Krisenmanagements90
7.2 Zusammensetzung, Kompetenzen und Informationspflichten der Krisenstäbe90
7.2.1 Operativer Krisenstab91
7.2.2 Strategischer Krisenstab92
7.3 Verhältnis zwischen den beiden Krisenstäben92
7.4 Zusammenkunft des Krisenstabs (Kommandozentrale)92
7.5 Auslöser für die Aktivierung des Krisenstabs93
7.6 Arbeitsaufnahme des operativen Krisenstabs96
7.6.1 Bilden von Arbeitsgruppen97
7.6.2 Unterlagen für den Krisenstab99
7.7 Verfahrensanweisungen zu einzelnen K-Fall-Situationen103
7.7.1 Brand103
7.7.2 Wassereinbruch104
7.7.3 Stromausfall104
7.7.4 Ausfall der Klimaanlage104
7.7.5 Flugzeugabsturz104
7.7.6 Geiselnahme104
7.7.7 Ausfall der Datenübertragung intern, zum RZ, zu den Kunden104
7.7.8 Ausfall des Host, des Rechenzentrums105
7.7.9 Verstrahlung, Kontamination, Pandemie105
7.7.10 Sabotage106
7.7.11 Spionage106
Präventiv-, Notfall-, K-Fall-Planung107
8.1 Präventiv- und Ausfallvermeidungsmaßnahmen107
8.1.1 Generelle Vorgehensweise107
8.1.2 Präventivmaßnahmen, die einen möglichen Schaden verlagern108
8.1.3 Präventiv- und Ausfallvermeidungsmaßnahmen, die den Eintritt des Notfalles verhindern108
8.1.4 Präventivmaßnahmen, die die Ausübung des Notfallplans ermöglichen109
8.1.5 Praktische Umsetzung und Anwendung109
8.1.6 Bestehende Grundsicherheit in technischen Räumen109
8.1.7 Maßnahmen in der Projektarbeit110
8.1.8 Maßnahmen in der Linienaufgabe110
8.1.9 Verfügbarkeitsklasse110
8.1.10 Überprüfung von Präventiv-und Ausfallvermeidungsmaßnahmen112
8.1.11 Versicherung112
8.1.12 Checkliste zur Feststellung des Schutzbedarfs bei Präventiv- und Ausfallvermeidungsmaßnahmen112
8.1.13 Checkliste zur Überprüfung von Ausfallvermeidungsmaßnahmen114
8.2 Notfall- und Kontinuitätspläne115
8.2.1 Inhalte des Notfallhandbuches115
8.2.2 Handhabung des Notfallhandbuches (IT-Krisenstab, Notfallpläne, Anhang)115
8.2.3 Ziele des Notfallhandbuches116
8.2.4 Praktische Anwendung und Umsetzung116
8.2.5 Notfall- und K-Fall-Übungen120
8.2.6 Notfallübungen122
8.2.7 K-Fall-Übungen129
Anhang136
A.1 Begriffsdefinitionen Sicherheit136
A.2 Checkliste: Organisation der IT-Sicherheit138
A.3 Checklisten für innere Sicherheit139
A.4 Checklisten für äußere Sicherheit139
A.5 Checkliste Mitarbeiter140
A.6 Checkliste Datensicherung140
A.7 Checkliste Risikoanalyse und Sicherheitsziele141
A.8 Mustervorlage E-Mail-Richtlinien141
I. Gegenstand und Geltungsbereich141
II. Verhaltensgrundsätze142
III. Einwilligung und Vertretungsregelung143
IV. Leistungs- und Verhaltenskontrolle/Datenschutz für E-Mail143
A.9 Übersicht von Normen für Zwecke des Notfall-und Kontinuitätsmanagements144
Abkürzungsverzeichnis145
Abbildungsverzeichnis147
Tabellenverzeichnis149
Literatur- und Quellenverweise151
Index153

Weitere E-Books zum Thema: Wirtschaftsinformatik - Informationstechnik - IT

Informationsmanagement

E-Book Informationsmanagement
Format: PDF

Das Internet hat in den letzten Jahren ohne Zweifel erhebliche Veränderungen in der gesamten Ökonomie bewirkt. E-Business gehört heute zur Unternehmensrealität und konfrontiert das…

Mobile qualifizierte elektronische Signaturen

E-Book Mobile qualifizierte elektronische Signaturen
Analyse der Hemmnisfaktoren und Gestaltungsvorschläge zur Einführung Format: PDF

Heiko Roßnagel diskutiert die Ursachen für den fehlenden Markterfolg elektronischer Signaturen. Er stellt mobile qualifizierte elektronische Signaturen als Alternative vor und zeigt unter welchen…

Quintessenz des Supply Chain Managements

E-Book Quintessenz des Supply Chain Managements
Was Sie wirklich über Ihre Prozesse in Beschaffung, Fertigung, Lagerung und Logistik wissen müssen Format: PDF

Der Wettbewerb findet zukünftig zwischen Supply Chains statt. Was die Gründe dafür sind und welche Konsequenzen sich daraus für Unternehmen ergeben, macht der Autor in dem Band deutlich. Er…

Handelscontrolling

E-Book Handelscontrolling
Optimale Informationsversorgung mit Kennzahlen Format: PDF

Handelsunternehmen gut zu führen ist in Zeiten turbulenter Veränderungen und dramatischen Preiswettbewerbs ein schwieriges Unterfangen. Um der Aufgabe gerecht zu werden, benötigen alle…

Human Capital Management

E-Book Human Capital Management
Personalprozesse erfolgreich managen Format: PDF

Überblick für Personalmanager: technologischer Fortschritt, erhöhte Anforderungen von Mitarbeitern und Management - Personalabteilungen stehen unter Druck. Mit ganzheitlichem…

Dynamische Disposition

E-Book Dynamische Disposition
Strategien zur optimalen Auftrags- und Bestandsdisposition Format: PDF

Dynamische Disposition sichert marktgerechte Lieferzeiten, kostenoptimale Lieferfähigkeit und verhindert überhöhte oder unzureichende Bestände. Dieses Buch beantwortet grundlegende Fragen. Der Autor…

Informationsmanagement

E-Book Informationsmanagement
Format: PDF

Das Internet hat in den letzten Jahren ohne Zweifel erhebliche Veränderungen in der gesamten Ökonomie bewirkt. E-Business gehört heute zur Unternehmensrealität und konfrontiert das…

Weitere Zeitschriften

FESTIVAL Christmas

FESTIVAL Christmas

Fachzeitschriften für Weihnachtsartikel, Geschenke, Floristik, Papeterie und vieles mehr! FESTIVAL Christmas: Die erste und einzige internationale Weihnachts-Fachzeitschrift seit 1994 auf dem ...

Atalanta

Atalanta

Atalanta ist die Zeitschrift der Deutschen Forschungszentrale für Schmetterlingswanderung. Im Atalanta-Magazin werden Themen behandelt wie Wanderfalterforschung, Systematik, Taxonomie und Ökologie. ...

AUTOCAD & Inventor Magazin

AUTOCAD & Inventor Magazin

FÜHREND - Das AUTOCAD & Inventor Magazin berichtet seinen Lesern seit 30 Jahren ausführlich über die Lösungsvielfalt der SoftwareLösungen des Herstellers Autodesk. Die Produkte gehören zu ...

BONSAI ART

BONSAI ART

Auflagenstärkste deutschsprachige Bonsai-Zeitschrift, basierend auf den renommiertesten Bonsai-Zeitschriften Japans mit vielen Beiträgen europäischer Gestalter. Wertvolle Informationen für ...

Card-Forum

Card-Forum

Card-Forum ist das marktführende Magazin im Themenbereich der kartengestützten Systeme für Zahlung und Identifikation, Telekommunikation und Kundenbindung sowie der damit verwandten und ...

Evangelische Theologie

Evangelische Theologie

 Über »Evangelische Theologie« In interdisziplinären Themenheften gibt die Evangelische Theologie entscheidende Impulse, die komplexe Einheit der Theologie wahrzunehmen. Neben den ...