Inhalt. 1 Einführung... 1

Größe: px

Ab Seite anzeigen:

Download "Inhalt. 1 Einführung... 1"

Peter Flater
vor 6 Jahren
Abrufe

1 Inhalt 1 Einführung IT-Sicherheitspolicy Einordnung der IT-Sicherheitspolicy Definition des Geltungsbereichs Sicherheitsgrundsätze Sicherheitsgrundsatz 1: Unternehmensziel Sicherheitsgrundsatz 2: Schadensvermeidung Sicherheitsgrundsatz 3: Sicherheitsbewusstsein Sicherheitsgrundsatz 4: Gesetzliche, aufsichtsrechtliche und vertragliche Pflichten Sicherheitsgrundsatz 5: Maßnahmen gemäß allgemeingültiger Sicherheitsstandards Sicherheitsgrundsatz 6: Aufrechterhaltung des Geschäftsbetriebes Sicherheitsgrundsatz 7: Sicherheitsarchitektur Verantwortlichkeiten Geschäftsführung und Management Sicherheitsorganisation Mitarbeiter Umsetzung Sicherheitsarchitektur Aufgabengebiete Kontrolle Operationale Risiken Grundbetrachtung der operationalen Risiken Warum sind die operationalen Risiken für ein Unternehmen zu berücksichtigen? vii

2 viii Inhalt Übersicht Risiken Gesetzliche und quasigesetzliche Vorgaben KonTraG (u. a. Änderungen des AktG und des HGB) Aufbau eines Managements operationaler IT-Risiken IT-Risikobetrachtung über ein Schichtenmodell Welche Sicherheit ist angemessen? Grobe Vorgehensweise für ein Risikomanagement Das operationale Risiko Aktualisierung der Werte des operationalen Risikos Rollierender Report Operationales Risiko Rahmen für Risikoeinschätzung operationaler Risiken Definitionen Schutzbedürftigkeitsskalen Feststellung des Schutzbedarfs Qualitative Risikoeinschätzung einzelner Produkte Quantitative Risikoeinschätzung eines Produktes Steuerung der operationalen Risiken Aufbau des Reporting mit Darstellung der Risiken auf Prozess-/Produktebene Risikodarstellung der Prozesse/Anwendungen in einem Risikoportfolio Risikobewältigungsstrategien Risikomanagement operationaler Risiken Strukturierte Risikoanalyse Schwachstellenanalyse und Risikoeinschätzung für die einzelnen IT-Systeme/Anwendungen mit der Methode FMEA Übersicht Kurzbeschreibung der Methode Begriffsbestimmung Anwendung der Methode FMEA Strukturierte Risikoanalyse (smart scan) Generelle Vorgehensweise Übersicht über die Klassifizierung und Einschätzung Feststellung des Schutzbedarfs Checkliste Feststellung der Schutzbedarfsklasse bei Prozessen/Anwendungen Checkliste Feststellung Schutzbedarfsklassen bei IT-Systemen/IT-Infrastruktur Ermittlung des Gesamtschutzbedarfs Feststellung der Grundsicherheit von IT-Komponenten und Infrastruktur... 59

3 Inhalt ix Feststellung der Sicherheit und Verfügbarkeit von Anwendungen Feststellung der Risikovorsorge Feststellung des Risikos Zuordnung und Bewertung der Risikoanalyse für die FMEA Überführung der Bewertung in die FMEA Das IT-Security & Contingency Management Warum IT-Security & Contingency Management? Risiken im Fokus des IT-Security & Contingency Managements Aufbau und Ablauforganisation des IT-Security & Contingency Managements Zuständigkeiten Aufbauorganisation Teamleitung IT-Security & Contingency Management Rolle: Security & Prevention IT-Systeme/Infrastruktur Rolle: Contingency Management Fachbereichsbetreuung Rolle: IT-Risikosteuerung Schnittstellen zu anderen Bereichen Besondere Aufgaben Anforderungsprofil an Mitarbeiter des IT-Security & Contingency Managements IT-Krisenorganisation Aufbauorganisation des IT-Krisenmanagements Zusammensetzung, Kompetenzen und Informationspflichten der Krisenstäbe Operativer Krisenstab Strategischer Krisenstab Verhältnis zwischen den beiden Krisenstäben Zusammenkunft des Krisenstabs (Kommandozentrale) Auslöser für die Aktivierung des Krisenstabs Arbeitsaufnahme des operativen Krisenstabs Bilden von Arbeitsgruppen Unterlagen für den Krisenstab Verfahrensanweisungen zu einzelnen K-Fall-Situationen Brand Wassereinbruch Stromausfall Ausfall der Klimaanlage... 95

4 x Inhalt Flugzeugabsturz Geiselnahme Ausfall der Datenübertragung intern, zum RZ, zu den Kunden Ausfall des Host, des Rechenzentrums Verstrahlung, Kontamination, Pandemie Sabotage Spionage Präventiv-, Notfall-, K-Fall-Planung Präventiv- und Ausfallvermeidungsmaßnahmen Generelle Vorgehensweise Präventivmaßnahmen, die einen möglichen Schaden verlagern Präventiv- und Ausfallvermeidungsmaßnahmen, die den Eintritt des Notfalles verhindern Präventivmaßnahmen, die die Ausübung des Notfallplans ermöglichen Praktische Umsetzung und Anwendung Bestehende Grundsicherheit in technischen Räumen Maßnahmen in der Projektarbeit Maßnahmen in der Linienaufgabe Verfügbarkeitsklasse Überprüfung von Präventivund Ausfallvermeidungsmaßnahmen Versicherung Checkliste zur Feststellung des Schutzbedarfs bei Präventiv- und Ausfallvermeidungsmaßnahmen Checkliste zur Überprüfung von Ausfallvermeidungsmaßnahmen Notfall- und Kontinuitätspläne Inhalte des Notfallhandbuches Handhabung des Notfallhandbuches (IT-Krisenstab, Notfallpläne, Anhang) Ziele des Notfallhandbuches Praktische Anwendung und Umsetzung Notfall- und K-Fall-Übungen Notfallübungen K-Fall-Übungen Anhang A.1 Begriffsdefinitionen Sicherheit A.2 Checkliste: Organisation der IT-Sicherheit A.3 Checklisten für innere Sicherheit A.4 Checklisten für äußere Sicherheit

5 Inhalt xi A.5 Checkliste Mitarbeiter A.6 Checkliste Datensicherung A.7 Checkliste Risikoanalyse und Sicherheitsziele A.8 Mustervorlage -Richtlinien I. Gegenstand und Geltungsbereich II. Verhaltensgrundsätze III. Einwilligung und Vertretungsregelung IV. Leistungs- und Verhaltenskontrolle/Datenschutz für A.9 Übersicht von Normen für Zwecke des Notfallund Kontinuitätsmanagements Abkürzungsverzeichnis Abbildungsverzeichnis Tabellenverzeichnis Literatur- und Quellenverweise Index

Ähnliche Dokumente

IT-Risiko- Management mit System

Hans-Peter Königs 2008 AGI-Information Management Consultants May be used for personal purporses only or by libraries associated to dandelon.com network. IT-Risiko- Management mit System Von den Grundlagen