IT-Risiko- Management mit System

Größe: px

Ab Seite anzeigen:

Download "IT-Risiko- Management mit System"

Ursula Kohler
vor 10 Jahren
Abrufe

1 Hans-Peter Königs 2008 AGI-Information Management Consultants May be used for personal purporses only or by libraries associated to dandelon.com network. IT-Risiko- Management mit System Von den Grundlagen bis zur Realisierung - Ein praxisorientierter Leitfaden Mit 77 Abbildungen 2., korrigierte Auflage vieweg

IT-Risiko- Management mit System Von den Grundlagen bis zur Realisierung -

2 1 Einführung Warum beschäftigen wir uns mit Risiken? Risiken bei unternehmerischen Tätigkeiten Inhalt und Aufbau dieses Buchs 3 Teil A: Grundlagen erarbeiten 5 2 Elemente für die Durchführung eines Risiko-Managements Fokus und Kontext Risiko-Management Definition des Begriffs Risiko" Anwendung der Risiko-Formel Subjektivität bei der Risiko-Einschätzung Hilfsmittel zur Risiko-Einschätzung Risiko-Matrix Schadenseinstufung Risiko-Karte und Risiko-Portfolio Risiko-Katalog Risiko-Aggregierung Risiko-Kategorien, Risiko-Arten und Top-Down-Vorgehen Bedrohungslisten Beispiele von Risiko-Arten Zusammenfassung Kontrollfragen und Aufgaben 25 3 Risiko-Management als Prozess Festlegung Risiko-Management-Kontext Durchführung der Risiko-Analyse Analyse-Arten Durchführung der Risiko-Analyse in einem RM-Prozess Value at Risk-Methode Analyse-Methoden Such-Methoden 38 VII

2 Definition des Begriffs Risiko" 9 2.3 Anwendung der Risiko-Formel 12 2.4 Subjektivität bei der Risiko-Einschätzung 13 2.5 Hilfsmittel zur Risiko-Einschätzung 13 2.5.1 Risiko-Matrix 13 2.

3 Inhaltsverzeich n is Szenarien-Analyse Durchführung von Teil-Analysen Schwächen-Analyse Impact-Analyse Risiko-Bewertung Risiko-Bewältigung Risiko-Kontrolle und -Reporting Risiko-Kommunikation Anwendungen eines Risiko-Management-Prozesses Zusammenfassung Kontrollfragen und Aufgaben 47 Teil B: Anforderungen berücksichtigen 49 4 Risiko-Management, ein Pflichtfach der Unternehmensführung Corporate Governance Anforderungen von Gesetzgebern und Regulatoren Gesetz KonTraG in Deutschland Obligationenrecht in der Schweiz Swiss Code of best Practice for Corporate Governance Basel Capital Accord (Basel II) Sarbanes-Oxley Act (SOX) der USA Risiko-Management: Anliegen der Kunden und Öffentlichkeit Hauptakteure im unternehmensweiten Risiko-Management Zusammenfassung Kontrollfragen und Aufgaben 67 5 Risiko-Management integriert in das Management-System Integrativer Risiko-Management-Prozess Normatives Management Unternehmenspolitik Unternehmensverfassung Unternehmenskultur Mission und Strategische Ziele Vision als Input des Strategischen Managements 74 VIII

8 Anwendungen eines Risiko-Management-Prozesses 45 3-9 Zusammenfassung 46 3-10 Kontrollfragen und Aufgaben 47 Teil B: Anforderungen berücksichtigen 49 4 Risiko-Management, ein Pflichtfach der

4 Inhaltsverzeich n is Strategisches Management 74 Strategische Ziele 76 5,2 Strategien 80 Strategie-Umsetzung 80 Strategieumsetzung mittels Balanced Scorecards (BSC) 80 Unternehmensübergreifende BSC 85 Balanced Scorecard und CobiT für die IT-Strategie 85 IT-Indikatoren in der Balanced Score Card 87 Operatives Management (Gewinn-Management) 91 Policies und Pläne 91 Risikopolitische Grundsätze 93 Zusammenfassung 94 Kontrollfragen und Aufgaben 95 f-rlsiken erkennen und bewältigen 97 und IT-Risiken 99 Veranschaulichung der Risikozusammenhänge am Modell 99 Informationen - die risikoträchtigen Güter 101 Sysitemziele für den Schutz von Informationen 103 Ihformations-Sicherheit versus IT-Sicherheit 105 U-Risikomanagement, IT-Sicherheit und Grundschutz 106 Zusammenfassung 107 Kontrollfragen und Aufgaben 108 Sicherheit und Corporate Governance 109 Management von IT-Risiken und Informations-Sicherheit 109 IT-Governance und Informations-Sicherheit-Governance 110 Leitfaden für Informations-Sicherheit-Governance 111 Organisatorische Funktionen für Informations-Risiken 115 Chief Information Officer (CIO) 116 Chief (Information) Security Officer 116 Checks and Balances durch Organisations-Struktur 118 Zusammenfassung Kontrollfragen und Aufgaben 121 IX

Zusammenfassung 94 Kontrollfragen und Aufgaben 95 f-rlsiken erkennen und bewältigen 97 und IT-Risiken 99 Veranschaulichung der Risikozusammenhänge am Modell 99 Informationen - die risikoträchtigen

5 8 IT-Risiko-Management in der Führungs-Pyramide Ebenen der IT-Risiko-Management-Führungspyramide Risiko- und Sicherheitspolitik auf der Unternehmens-Ebene Informations-Sicherheitspolitik IT-Sicherheitsweisungen und Ausführungsbestimmungen IT-Sicherheitsarchitektur und -Standards IT-Sicherheitskonzepte Zusammenfassung Kontrollfragen und Aufgaben IT-Risiko-Management mit Standard-Regelwerken Bedeutung der Standard-Regelwerke Wichtige Regelwerke der Informations-Sicherheit IT-Risiko-Bewältigung mit ISO/IEC und ISO/IEC IT-Risiko-Bewältigung mit CobiT Zusammenfassung Kontrollfragen und Aufgaben Methoden und Werkzeuge zum IT-Risiko-Management IT-Risikomanagement mit Sicherheitskonzepten Ausgangslage Systembeschreibung und Schutzobjekte Risiko-Analyse Schwachstellen-Analyse anstelle einer Risiko-Analyse l6l Anforderungen an die Sicherheitsmassnahmen Beschreibung der Sicherheitsmassnahmen Umsetzung der Sicherheitsmassnahmen Iterative und kooperative Ausarbeitung der Kapitel Die CRAMM-Methode Fehlermöglichkeits- und Einflussanalyse Fehlerbaumanalyse Ereignisbaum-Analyse Zusammenfassung Kontrollfragen und Aufgaben 184 X

3 Kontrollfragen und Aufgaben 134 9 IT-Risiko-Management mit Standard-Regelwerken 135 9-1 Bedeutung der Standard-Regelwerke 135 9.2 Wichtige Regelwerke der Informations-Sicherheit 137 9-2.

6 Teil D: Unternehmensprozesse meistern Risiko-Management-Prozesse im Unternehmen Verzahnung der RM-Prozesse im Unternehmen Risiko-Konsolidierung Subsidiäre RM-Prozesse IT-RM imgesamt-rm Risiko-Management im Strategie-Prozess Risiko-Management und IT-Strategie im Strategie-Prozess Periodisches Risiko-Reporting Zusammenfassung Kontrollfragen und Aufgaben Geschäftskontinuitäts-Planung und IT-Notfall-Planung Einzelpläne zur Unterstützung der Geschäft-Kontinuität Geschäftskontiuitäts-Plan (Business Continuity Plan) Geschäftswiedererlangungs-Plan (Business Recovery Plan) Betriebskontinuitäts-Plan (Continuity of Operations Plan) Notfall-Plan (Disaster Recovery Plan) IT-Notfall-Plan (IT Contingency Plan) Vulnerability- und Incident Response Plan Geschäftskontinuitäts-Planung Start Geschäftskontinuitäts-Plan Bedrohungs- und Verletzlichkeits-Analyse Geschäfts-Impact-Analyse Problemerfassung und Lagebeurteilung Kriterien für Plan-Aktivierungen Ressourcen und externe Abhängigkeiten Zusammenstellung Kontinuitäts-Plan Kommunikationskonzept Tests, Übungen und Plan-Unterhalt IT-Notfall-Plan, Vulnerability- und Incident-Management Organisation eines Vulnerability- und Incident-Managements Behandlung von plötzlichen Ereignissen als RM-Prozess 225 XI

3 Zusammenfassung 201 11.4 Kontrollfragen und Aufgaben 202 12 Geschäftskontinuitäts-Planung und IT-Notfall-Planung 205 12.1 Einzelpläne zur Unterstützung der Geschäft-Kontinuität 206 12.1.1 Geschäftskontiuitäts-Plan (Business Continuity Plan) 206 12.

7 12.4 Zusammenfassung Kontrollfragen und Aufgaben Risiko-Management im Lifecycle von Informationen und Systemen Schutz von Informationen im Lifecycle Einstufung der Informations-Risiken Massnahmen für die einzelnen Schutzphasen Risiko-Management im Lifecycle von IT-Systemen Synchronisation RM mit System-Lifecycle Zusammenfassung Kontrollfragen und Aufgaben Sourcing-Prozesse IT-Risiko-Management im Outsourcing-Vertrag Sicherheitskonzept im Outsourcing-Lifecycle Sicherheitskonzept im Insourcing-Lifecycle Zusammenfassung Kontrollfragen 248 Anhang 249 A.l Beispiele von Risiko-Arten 251 A.2 Muster Ausführungsbestimmung für Informationsschutz 255 A.3 Formulare zur Einschätzung von IT-Risiken 259 Literatur 263 Abkürzungsverzeichnis 267 Stichwortverzeichnis 269 XII

13-1.2 Massnahmen für die einzelnen Schutzphasen 230 13-2 Risiko-Management im Lifecycle von IT-Systemen 231 13-3 Synchronisation RM mit System-Lifecycle 233 13-4 Zusammenfassung 235 13-5

Ähnliche Dokumente

IT-Risikomanagement mit System

Hans-Peter Königs IT-Risikomanagement mit System Praxisorientiertes Management von Informationssicherheits- und IT-Risiken ^ 4. Auflage PRAXIS Springer Vieweg 1 Einführung.; 1 1.1 Waaim beschäftigen wir