IT-Risikomanagement mit System

Transkript

1 Edition kes IT-Risikomanagement mit System Praxisorientiertes Management von Informationssicherheits- und IT-Risiken Bearbeitet von Hans-Peter Königs 1. Auflage Buch. xviii, 454 S. ISBN Format (B x L): 16,8 x 24 cm Gewicht: 957 g Wirtschaft > Betriebswirtschaft: Theorie & Allgemeines > Wirtschaftsinformatik, SAP, IT-Management schnell und portofrei erhältlich bei Die Online-Fachbuchhandlung beck-shop.de ist spezialisiert auf Fachbücher, insbesondere Recht, Steuern und Wirtschaft. Im Sortiment finden Sie alle Medien (Bücher, Zeitschriften, CDs, ebooks, etc.) aller Verlage. Ergänzt wird das Programm durch Services wie Neuerscheinungsdienst oder Zusammenstellungen von Büchern zu Sonderpreisen. Der Shop führt mehr als 8 Millionen Produkte.

2 1 Einführung Warum beschäftigen wir uns mit Risiken? Risiken bei unternehmerischen Tätigkeiten Inhalt und Aufbau dieses Buchs... 3 Teil A: Grundlagen erarbeiten Elemente für die Durchführung eines Risikomanagements Fokus und Kontext Risikomanagement Definition des Begriffs Risiko Risiko kombiniert aus Wahrscheinlichkeit und Konsequenz Probleme bei Risikobestimmung mittels einfacher Multiplikation Subjektivität bei Einschätzung und Bewertung der Risiken Hilfsmittel zur Analyse, Aufbereitung und Darstellung der Risiken Risiko-Bewertungs-Matrix Kriterien zur Schadenseinstufung Risiko-Landkarte, Akzeptanz-Kriterien und Risiko-Portfolio Risiko-Katalog Risiko-Aggregation und Abhängigkeiten Beschreibung der Risiken mit Risikomasszahlen Stochastische Methoden zur Bestimmung des Risikos Risiko-Analyse und -Überwachung mit Indikatoren Risiko-Organisation, Kategorien und Arten von Risiken Bedrohungslisten Beispiele von Risiko-Arten Zusammenfassung Kontrollfragen und Aufgaben Risikomanagement als Prozess Kommunikation und Konsultation Festlegung Risikomanagement-Kontext XI

3 3.3 Durchführung Risiko-Assessment Risiko-Identifikation Risiko-Analyse Teil-Analysen Bedrohungs-Analyse Schwächen-Analyse Impact-Analyse Risiko-Bewertung Risiko-Assessment Methoden Such-Methoden Szenarien-Analyse Risiko-Behandlung Akzeptanz- und Iterationsentscheide Überwachung und Überprüfung Universeller Risikomanagement-Prozess Zusammenfassung Kontrollfragen und Aufgaben Teil B: Anforderungen aus Unternehmenssicht berücksichtigen Risikomanagement, ein Pflichtfach der Unternehmensführung Risikomanagement integriert in das Führungssystem Corporate Governance Anforderungen von Gesetzgebern und Regulatoren Gesetz KonTraG in Deutschland Obligationenrecht in der Schweiz Swiss Code of best Practice for Corporate Governance Rahmenwerke Basel II und Basel III Sarbanes-Oxley Act (SOX) der USA EuroSOX Datenschutz: Eine wichtige Unternehmensanforderung Risikomanagement: Anliegen der Kunden und Öffentlichkeit Hauptakteure im unternehmensweiten Risikomanagement Zusammenfassung Kontrollfragen und Aufgaben Risikomanagement integriert in das Management-System Integrierter unternehmensweiter Risikomanagement-Prozess Normatives Management XII

4 5.2.1 Unternehmens-Politik Unternehmens-Verfassung Unternehmens-Kultur Mission und Strategische Ziele Vision als Input des Strategischen Managements Strategisches Management Strategische Ziele Strategien Strategie-Umsetzung Strategie-Umsetzung mittels Balanced Scorecards (BSC) Unternehmensübergreifende BSC Balanced Scorecard und CobiT für die IT-Strategie IT-Indikatoren in der Balanced Scorecard Operatives Management (Gewinn-Management) Policies und Pläne Risikopolitische Grundsätze Umsetzung von Anforderungen mit Management-Systemen Management-Systeme Vereinheitlichung Management-System-Standards durch ISO Zusammenfassung Kontrollfragen und Aufgaben Teil C: Informations-Risiken erkennen und bewältigen Informationssicherheits- und IT-Risiken Veranschaulichung der Risikozusammenhänge am Modell Informationen die risikoträchtigen Güter System-Ziele für Risiken Informationssicherheit und IT Informationssicherheit versus IT-Sicherheit Informationssicherheits-Risiken versus IT-Risiken Grundschutz und Informationssicherheits-Risikomanagement Zusammenfassung Kontrollfragen und Aufgaben Informationssicherheits- und IT-Governance Management von Informations- und IT-Sicherheit IT-Governance versus Informationssicherheits-Governance IT-Governance nach ITGI der ISACA Informationssicherheits-Governance nach ITGI der ISACA Organisatorische Funktionen für Informations-Risiken XIII

5 7.2.1 Chief Information Officer (CIO) Chief (Information) Security Officer Business-Owner, IT-Owner und IT-Administratoren Information Security Steering Committee Checks and Balances durch Organisations-Struktur Zusammenfassung Kontrollfragen und Aufgaben Informationssicherheits-Risikomanagement in der Führungs-Pyramide Ebenen der Führungspyramide Risiko- und Sicherheits-Politik auf der Unternehmens-Ebene Informationssicherheits-Politik und ISMS-Politik Weisungen und Ausführungsbestimmungen Informationssicherheits-Architektur und -Standards IT-Sicherheitskonzepte Zusammenfassung Kontrollfragen und Aufgaben Informations-Risikomanagement mit Standard-Regelwerken Bedeutung der Standard-Regelwerke Übersicht über wichtige Regelwerke Risikomanagement mit der Standard-Reihe ISO/IEC 2700x Informationssicherheits-Management nach ISO/IEC Code of Practice ISO/IEC Informationssicherheits-Risikomanagement mit ISO/IEC CobiT Framework CobiT IT-Risikomanagement mit CobiT BSI-Standards und Grundschutzkataloge Zusammenfassung Kontrollfragen und Aufgaben Methoden und Werkzeuge zum IT-Risikomanagement IT-Risikomanagement mit Sicherheitskonzepten Kapitel Kontextbeschreibung Kapitel Risiko-Assessment Kapitel Risiko-Analyse Schwachstellen-Analyse anstelle einer Risiko-Analyse Kapitel Bewertung und Anforderungen an Massnahmen XIV

6 Kapitel Definition und Beschreibung Massnahmen Kapitel Umsetzung Massnahmen Kommunikation und kooperative Ausarbeitung der Kapitel Risiko-Akzeptanz, Konzept-Abnahme und -Anpassung Überwachung und Überprüfung Die CRAMM-Methode Fehlermöglichkeits- und Einfluss-Analyse Fehlerbaum-Analyse Ereignisbaum-Analyse Zusammenfassung Kontrollfragen und Aufgaben Kosten/Nutzen - Relationen der Risikobehandlung Formel für Return on Security Investments (ROSI) Ermittlung der Kosten für die Sicherheitsmassnahmen Ermittlung der Kosten der behandelten Risiken Massnahmen-Nutzen ausgerichtet an Unternehmenszielen Grundzüge von Val IT Grundzüge von Risk IT Fazit zu Ansätzen der Sicherheit-Nutzen-Bestimmung Zusammenfassung Kontrollfragen und Aufgaben Teil D: Unternehmens-Prozesse meistern Risikomanagement-Prozesse im Unternehmen Verzahnung der RM-Prozesse im Unternehmen Risiko-Konsolidierung Subsidiäre RM-Prozesse Informations-RM und Rollenkonzepte im Gesamt-RM Risikomanagement im Strategie-Prozess Risikomanagement und IT-Strategie im Strategie-Prozess Periodisches Risiko-Reporting Zusammenfassung Kontrollfragen und Aufgaben Geschäftskontinuitäts-Management und IT-Notfall-Planung Einzelpläne zur Unterstützung der Geschäftskontinuität Geschäftskontinuitäts-Plan (Business Continuity Plan) XV

7 Betriebskontinuitäts-Plan (Continuity of Operations Plan) Ausweichplan (Disaster Recovery Plan) IT-Notfall-Plan (IT Contingency Plan) Vulnerability- und Incident Response-Plan BCMS im Unternehmens-Risikomanagement Planung Kontinuitäts-System Kontext des Unternehmens Führung Planung Unterstützung Operation Geschäfts-Impact-Analyse und Risiko-Assessment Geschäfts-Impact-Analyse Risk-Assessment Geschäftskontinuität-Strategien Geschäftskontinuitäts-Verfahren und Pläne Krisenmanagement Kriterien für Plan-Aktivierungen Ressourcen und externe Abhängigkeiten Plan-Zusammenstellung Kommunikationskonzept für Ereignisfall Tests, Übungen und Plan-Unterhalt Tests Übungsvorbereitungen und -Durchführungen Wartung und Überprüfung der Pläne Leistungsbewertung Überwachung und Überprüfung Internes und externes Audit Überprüfung durch Management Kontinuierliche Verbesserungen und Wiederholungen IT-Notfall-Plan, Vulnerability- und Incident-Management Organisation eines Vulnerability- und Incident-Managements Behandlung von plötzlichen Ereignissen als RM-Prozess Zusammenfassung Kontrollfragen und Aufgaben Risikomanagement im Lifecycle von Informationen und Systemen Schutz von Informationen im Lifecycle Einstufung der Informations-Risiken XVI

8 Massnahmen für die einzelnen Schutzphasen Risikomanagement im Lifecycle von IT-Systemen Synchronisation RM mit System-Lifecycle Zusammenfassung Kontrollfragen und Aufgaben Risikomanagement in Outsourcing-Prozessen IT-Risikomanagement im Outsourcing-Vertrag Sicherheitskonzept im Sourcing-Lifecycle Sicherheitskonzept beim Dienstleister Zusammenfassung Kontrollfragen Risikomanagement bei Nutzung und Angebot Cloud-Computing Prinzip und Definitionen Cloud-Computing Wesentliche Charakteristiken Service-Modelle Deployment-Modelle Informationssicherheitsrisiken beim Cloud-Computing Cloud-Sourcing als Service aus der Kundenperspektive Phase 1: Cloud-Sourcing-Strategie Phase 2: Evaluation und Auswahl Phase 3: Vertragsentwicklung Phase 4: Cloud-Sourcing-Management Risikomanagement für Cloud-Computing aus Kundensicht Kontext im Sicherheitskonzept für Cloud-Computing-Einsatz Risiko-Assessment Cloud-Sourcing-Lifecycle auf der Provider-Seite Zusammenfassung Kontrollfragen und Aufgaben Anhang A.1 Beispiele von Risiko-Arten A.2 Beispiele von Cyber Threats A.3 Muster Ausführungsbestimmung für Informationsschutz A.4 Formulare zur Einschätzung von IT-Risiken A.5 Beispiele zur Aggregation von operationellen Risiken XVII

9 Literatur Abkürzungsverzeichnis Stichwortverzeichnis XVIII