Anforderungen eines Industrie- und Firmenversicherers an ein betriebssicheres Rechenzentrum

Größe: px

Ab Seite anzeigen:

Download "Anforderungen eines Industrie- und Firmenversicherers an ein betriebssicheres Rechenzentrum"

Minna Dunkle
vor 8 Jahren
Abrufe

1 Anforderungen eines Industrie- und Firmenversicherers an ein betriebssicheres Rechenzentrum Ingo Zimmermann Colonia Allee D Köln Tel.: +49 [0] Fax: +49 [0] ingo.zimmermann@axa.de

2 Gliederung Wie denkt ein Industrieversicherer IT-Sicherheitsmanagement aus Sicht eines Industrieversicherers VdS-Merkblatt zur Schadenverhütung Anlagen der Informationstechnologie (IT-Anlagen) Seite 2

3 Wie denkt ein Industrieversicherer? Der Risiko-Management Prozess 1. Risiken identifizieren 2. Risiken bewerten 3. Risiken kontrollieren 4. Risiken finanzieren 1. Systematische Ermittlung von Risiken - Was kann passieren? 2. Systematische Bewertung von Risiken - Was darf passieren? 3. Umgang und Steuerung von Risiken - Wie kann man Risiken vermeiden, begrenzen oder vermindern? 4. Ermittlung von Schadenausmaß und die - Wie hoch ist das Restrisiko? Schadenhäufigkeit - Wer finanziert was und in welchem Umfang? Seite 3

Systematische Bewertung von Risiken - Was darf passieren? 3.

4 Wie denkt ein Industrieversicherer? Optionsanalyse, Risikominderung Definition des Systems Identifizierung von Gefährdungen Risikoeinschätzung Risikoanalyse Risikobeurteilung Risikobewertung Ja Entscheidung über die Notwendigkeit zu weiterer Risikominderung Nein Sicherheit mit Restrisiko Seite 4

von Gefährdungen Risikoeinschätzung Risikoanalyse Risikobeurteilung

5 Wie denkt ein Industrieversicherer? Versicherungstechnische Abschätzung eines Risikos Bilden von Schadenszenarien (Gefahrensuche) Versicherungstechnische Bewertung Abschätzen der Schadenhöhen Abschätzen der Eintrittswahrscheinlichkeiten Brain- Storming Erfahrungen Wahrnehmungen Sachschäden Vermögensschäden Personenschäden Sachwerte Schadensanierungsmaßnahmen Zeitaufwand Kostensätze Vorschäden Ursachen Redundanzen Organisatorischeund technische Maßnahmen Zertifizierungen Betriebsbesichtigung Stückzahlen Seite 5

Abschätzen der Schadenhöhen Abschätzen der Eintrittswahrscheinlichkeiten Brain- Storming Erfahrungen Wahrnehmungen Sachschäden

6 Wie denkt ein Industrieversicherer? Beispiel für eine Entscheidungstabelle zur Risikofinanzierung S c h a d e n a u s m a ß hoch mittel gering sehr gering versicherbar versicherbar Teilfinanzierung Versicherer/ Kunde Kunde finanziert selbst Kunde finanziert selbst sehr gering gering mittel hoch Schadenfrequenz Seite 6

s m a ß hoch mittel gering sehr gering versicherbar versicherbar

7 Schutz vor Wasser Seite 7 IT-Risikomanagement aus Sicht eines Industrieversicherers Blitz- und Überspannungsschutz Dokumentation RZ- Brandschutz- Maßnahmen Schutz vor Elementarereignissen Baulicher Brandschutz Risiken Organisation Zutrittskontrollen Technische Einrichtungen Schutz der Energieversorgung Einbruch- und Sabotageschutz BSI- Grundschutzhandbuch Sicherheitstest MA-Schulungen

Baulicher Brandschutz Risiken Organisation Zutrittskontrollen Technische Einrichtungen Schutz

8 IT-Risikomanagement aus Sicht eines Industrieversicherers Die Risikoanalyse zeigt Betriebsunterbrechungs- und Sachschutzpotential auf zeigt innere und äußere Störungsmöglichkeiten auf berücksichtigt technische, betriebswirtschaftliche und versicherungstechnische Faktoren quantifiziert zeitliche und finanzielle Auswirkungen möglicher Betriebsstörungen hilft Maßnahmen zur Ertragssicherung zu entwickeln Seite 8

berücksichtigt technische, betriebswirtschaftliche und versicherungstechnische Faktoren quantifiziert

9 IT-Risikomanagement aus Sicht eines Industrieversicherers Benötigte Informationen und Unterlagen Lageplan/Brandschutzplan Grundriss/Belegungsplan RZ Darstellung der Aufgaben des RZ Anbindung von Außenstellen/Abhängigkeiten Lagepläne der Einrichtungen Energie-, Klima- und Wasserversorgung sowie Kabeltrassen und Kanalverläufe Darstellung der Datennetze, -konfiguration, Peripherie Darstellung und Organisation der Zutrittskontrolleinrichtungen Abnahme- und Revisionszeugnisse (elektr. Anlage, klimatechnische Einrichtungen, Brandschutzanlage, Brand- und Einbruchmeldeanlage, etc.) Seite 9

sowie Kabeltrassen und Kanalverläufe Darstellung der Datennetze, -konfiguration, Peripherie Darstellung und Organisation der

10 IT-Risikomanagement aus Sicht eines Industrieversicherers Zusammenfassende Risikobewertung nach Risikoaufnahme B1 Lage und bauliches Konzept B2 Brandschutz B3 Gefährdung durch wasserführende Systeme B4 Vorsorge gegen Einbruch, Diebstahl, Sabotage B5 Energieversorgung und Elektroinstallation B6 Klimaanlage B7 Organisation B8 Daten-Netze B9 Notfallplanung Akzeptanzgrenzwert unzureichend ausreichend exzellent 0% 20% 40% 60% 80% 100% Seite 10

Einbruch, Diebstahl, Sabotage B5 Energieversorgung und Elektroinstallation B6 Klimaanlage B7 Organisation B8

11 IT-Risikomanagement aus Sicht eines Industrieversicherers Maßnahmen zur Risikominderung Beispiel: Schutzkonzept Gebäudeleittechnik " Wichtige Punkte in der Statusüberwachung und Funktionssteuerung sind: Schnittstelle zur Brandmeldeanlage mit Ansteuerung aller Feuerschutzabschlüsse Steuerung der Lüftungsanlage (aktiver Rauchschutz) Kontrolle und Steuerung der klimatechnischen Einrichtungen und Raumtemperaturen Zugangskontrolleinrichtungen und Verschlußüberwachung sensibler Zugänge Funktionsüberwachung wichtiger Einrichtungen wie Energieversorgung, USV, DFÜ- Einrichtungen Steuerung der Ersatzstromanlage oder alternativer Versorgungseinrichtungen Ferndiagnose wesentlicher Einrichtungen und Steuerung von Interventionskräften Seite 11

klimatechnischen Einrichtungen und Raumtemperaturen Zugangskontrolleinrichtungen und Verschlußüberwachung sensibler Zugänge Funktionsüberwachung wichtiger Einrichtungen wie

12 IT-Risikomanagement aus Sicht eines Industrieversicherers Risikobewertung nach Umsetzung der Maßnahmen unzureichend ausreichend exzellent 0% 20% 40% 60% 80% 100% B1 Lage und bauliches Konzept B2 Brandschutz B3 Baulicher und vorbeugender Schutz gegen Wassereinbruch B4 Vorsorge gegen Einbruch, Diebstahl, Sabotage B5 Energieversorgung und Elektroinstallation B6 Klimaanlage B7 Organisation B8 Daten-Netze B9 Notfallplanung Akzeptanzgrenze Seite 12

Baulicher und vorbeugender Schutz gegen Wassereinbruch B4 Vorsorge gegen Einbruch, Diebstahl, Sabotage B5

13 VdS-Merkblatt zur Schadenverhütung Anlagen der Informationstechnologie (IT-Anlagen) Erstellt im Einvernehmen mit dem Bundesverband der Industrie (BDI) Bundesamt für Sicherheit in der Informationstechnik (BSI) Inhalt Anforderungen und Maßnahmen zur Schadenverhütung Geltungsbereich Neue und bestehende Anlagen Seite 13

Bundesamt für Sicherheit in der Informationstechnik (BSI) Inhalt Anforderungen

14 Vielen Dank für Ihre Aufmerksamkeit!

15 Colonia Allee D Köln Zentrale der GmbH: Tel.: +49 [0] Fax: +49 [0]

Ähnliche Dokumente

Themenarbeit HTA.SWE.S08 Pascal Ming 23.Juni 2008

Themenarbeit HTA.SWE.S08 Pascal Ming 23.Juni 2008 Einleitung Risikomanagement nach HTAgil Risikomanagement nach Bärentango Risikomanagement in Wikipedia Vergleich Aufgabe Risikomanagement(Jörg Hofstetter)