IT-Risikomanagement mit System



Ähnliche Dokumente
IT-Risikomanagement mit System

IT-Risiko- Management mit System

1 Einleitung 1. 2 Entwicklung und Bedeutung von COBIT 7

IT-Sicherheit kompakt und verständlich

Volker Johanning. IT-Strategie. Optimale Ausrichtung der IT an das. Business in 7 Schritten. ^ Springer Vieweg

Risikomanagement zahlt sich aus

Implementierung eines steuerlichen Risikomanagementsystems

C R I S A M im Vergleich

IT-Aufsicht im Bankensektor Fit für die Bafin-Sonderprüfungen

Strategisches IT-Management mit dem COBIT Framework. Markus Gronerad, Scheer Management

Umsetzung des ISMS bei DENIC

ISO und IEC Team im Krankenhaus integriertes Managementsystem für Informations-Sicherheit im Medizinbetrieb PDCA statt DDDP*

4. FIT-ÖV Juli 2009 in Aachen Informationssicherheit im IT Service Management

IT-Sicherheitsmanagement bei der Landeshauptstadt München

Praxiswissen COBIT. dpunkt.verlag. Grundlagen und praktische Anwendung. in der Unternehmens-IT. Markus Gaulke

der Informationssicherheit

Resilien-Tech. Resiliente Unternehmen. Security Consulting. 08. Mai Burkhard Kesting

Implementierung eines Business Continuity Management Systems ISACA Trend Talk Bernhard Zacherl

Risikomanagement in sozialen Unternehmen

Rudolf Schraml. Beratung und Vertrieb IT-Security und Datenschutz

Informations- / IT-Sicherheit Standards

Einführung in das Controlling

International anerkannter Standard für IT-Sicherheit: ISO Umsetzung und Zertifizierung auf der Basis von BSI Grundschutz

BCM Business Continuity Management

Grundlagen des Datenschutzes. Vorlesung im Sommersemester 2011 an der Universität Ulm von Bernhard C. Witt

Risikobasierte Bewertung von Hilfsstoffen

IT-Grundschutz nach BSI 100-1/-4

Der IT Security Manager

IT-Governance und COBIT. DI Eberhard Binder

Risiko-Management im Krankenhaus Implementierung eines Managementsystems zur Minimierung von Risiken

Informationssicherheit. Das Ganze ist mehr als die Summe von Einzelmaßnahmen.

Die COBIT 5 Produktfamilie. (Kurzvorstellung) (mgaulke@kpmg.com) Markus Gaulke

für das ICT Risk Management

Grundlagen des Risikomanagements im Unternehmen ebook

Betriebswirtschaftliche Grundsätze für. Struktur, Elemente und Ausgestaltung nach IDW PS 980. Von Dr. Karl-Heinz Withus

Referenzmodelle für IT-Governance

Strategische Umsetzung von Corporate. Mittelständigen Unternehmen in Bayern. unter besonderer Berücksichtigung der

Mit einem Geleitwort von Prof. Dr. Helmut Krcmar

Grundlagen der Unternehmens führung

ITIL. fyj Springer. Peter T.Köhler. Das IT-Servicemanagement Framework. Mit 209 Abbildungen

Business IT Alignment

IT-Sicherheit Risiken erkennen und behandeln. Hanau,

Reihe: Supply Chain, Logistics and Operations Management Band 1. Herausgegeben von Prof. Dr. Dr. h. c. Wolfgang Kersten, Hamburg

scalaris ECI Day 2012 Risikomanagement in der Praxis 30. Oktober 2012 Rolf P. Schatzmann Chief Risk and Compliance Officer Renova Management AG

Normierte Informationssicherheit durch die Consultative Informationsverarbeitung

Teil I Überblick... 25

Hans Dieter Seghezzi. Fritz Fahrni. Thomas Friedli INTEGRIERTES QUALITÄTSMANAGEMENT. Das St. Galler Konzept. 4., vollständig überarbeitete Auflage

Risikomanagement. Ein Vortrag von Katharina Schroer. Juristisches IT-Projektmanagement WS 2013/2014

Schon mal an den Notfall gedacht? Vorgaben und Handl ungs- Empfehlungen zur IT-Notfallvorsorge

9001 Kontext der Organisation

2 Begriffliche und theoretische Grundlagen... 9

COBIT 5/ITIL-Convergence?

Vorwort des betreuenden Herausgebers (Berndt) A. Strategieprozess und aufsichtsrechtliche Anforderungen (Bastek-Margon)... 7

Systemen im Wandel. Autor: Dr. Gerd Frenzen Coromell GmbH Seite 1 von 5

Datenschutz. und Synergieeffekte. Verimax GmbH. Blatt 1. Autor:Stefan Staub Stand

Grundlagen der Unternehmens führung

27001 im Kundendialog. ISO Wertschätzungsmanagement. Wie Wertschätzung profitabel macht und den Kunden glücklich

Rechtliche Aspekte der (revisions-) sicheren Administration von IT-Systemen Secure Linux Administration Conference, 07.

Prüfungsansatz der Deutschen Bundesbank im europäischen Umfeld inkl. Cyber-Risiken

Edition <kes> Herausgegeben von P. Hohl, Ingelheim, Deutschland

Strategisches Supply Chain Controlling in der Automobilwirtschaft

Automatisierung eines ISMS nach ISO mit RSA Archer

Inhaltsverzeichnis. 1 Einleitung 1. 2 Einführung und Grundlagen 7

Dr. Christian Thiel. Institut für Informations- und Prozessmanagement FHS ST. Gallen

S-ITsec: strategisches IT-Security-Managementsystem

Masterkurs IT-Management

Pensionskasse des Bundes Caisse fédérale de pensions Holzikofenweg 36 Cassa pensioni della Confederazione

RISIKOMANAGEMENT IM UNTERNEHMEN

ITIL V3 Basis-Zertifizierung

IT-Revision als Chance für das IT- Management

PQM- Prozessorientiertes Qualitätsmanagement

IT-Sicherheitsorganisationen zwischen internen und externen Anforderungen

Prozessmanagement für Dienstleistungen

Risikomanagement nach ISO und ONR 49000

Systemen. Stand der Umsetzung von BSC-Systemen. 3/4 der Unternehmen setzen Balanced Scorecard als neues Instrument der Unternehmensführung ein.

Erfahrungsbericht eines zertifizierten IT-Sicherheitsdienstleisters

IT-Sicherheit in der Energiewirtschaft

Medizintechnik und Informationstechnologie im Krankenhaus. Dr. Andreas Zimolong


Steuerung von Gaspreisrisiken

Lösungen die standhalten.

Lifecycle der IT-Sicherheit Sichern Sie die Existenz Ihres Unternehmens

Vgl. Ehrmann, Harald: Kompakt-Training Risikomanagement: Rating - Basel II, Ludwigshafen (Rhein), 2005, S.52, 188, 201.

ITIL Überblick. der. Einstieg und Anwendung. Justus Meier, Bodo Zurhausen ^- ADDISON-WESLEY. Martin Bucksteeg, Nadin Ebel, Frank Eggert,

IT-Governance. Standards und ihr optimaler Einsatz bei der. Implementierung von IT-Governance

Technische Aspekte der ISO-27001

Informationsrisikomanagement und Auslagerungsmanagement, Erfahrungen aus 44 KWG Prüfungen

Risikooptimierung durch Einhaltung von Standards und Zertifizierung

Neun Jahre ISO Zertifizierung. Eine Bilanz in Anlehnung an das BRZ-Reifegradmodell

Controlling von Direktbanken

Informationsmanagement

Inhaltsverzeichnis. Vorwort. Inhaltsübersicht «VII. Abkürzungsverzeichnis. Abbüdungsverzeichnis. 1. Handlungsrahmen für das IT-Controlling 1

Inhaltliche Übersicht

2 Einführung und Grundlagen 5

Transkript:

Hans-Peter Königs IT-Risikomanagement mit System Praxisorientiertes Management von Informationssicherheits- und IT-Risiken ^ 4. Auflage PRAXIS Springer Vieweg

1 Einführung.; 1 1.1 Waaim beschäftigen wir uns mit Risiken? 1 1.2 Risiken bei unternehmerischen Tätigkeiten 3 1.3 Inhalt und Aufbau dieses Buchs 3 Teil A: Grundlagen erarbeiten 5 2 Elemente für die Durchführung eines Risikomanagements 7 2.1 Fokus und Kontext Risikomanagement 9 2.2 Definition des Begriffs Risiko", 9 2.3 Risiko kombiniert aus Wahrscheinlichkeit und Konsequenz *... 13 2.4 Probleme bei Risikobestimmung mittels einfacher Multiplikation 17 2.5 Subjektivität bei Einschätzung und Bewertung der Risiken 18 2.6 Hilfsmittel zur Analyse, Aufbereitung und Darstellung der Risiken x 19, 2.6.1 Risiko-Bewertungs-Matrix 19 2.6.2 Kriterien zur Schadenseinstufung 21 2.6.3 Risiko-Landkarte, Akzeptanz-Kriterien und Risiko-Portfolio 24 2.6.4 Risiko-Katalog 25 2.7 Risiko-Aggregation und Abhär^gigkeiten... 27 2.8 Beschreibung der Risiken mit Risikomasszahlen 29 2.8.1 Stochastische Methoden zur Bestimmung des Risikos 31 2.8.2 Risiko-Analyse und-überwachung mit Indikatoren...35 2.9 Risiko-Organisation, Kategorien und Arten von Risiken ;... 36 2.9.1 Bedrohungslisten. 39 2.9.2 Beispiele von Risiko-Arten 39 2.10 Zusammenfassung, s. 41 2.11 Kontrollfragen und Aufgaben 42 3 Risikomanagement als Prozess 43 3.1 Kommunikation und Konsultation 45 3.2 Festlegung Risikomanagement-Kontext 46 XI

3.3 Durchführung Risiko-Assessment 4"^» 3.4 Risiko-Identifikation 48 3.5 Risiko-Analyse 50 3-5.1 - Teil-Analysen 51 3.5.2 Bedrohungs-Analyse 51 3.5.3 Schwächen-Analyse 52 3.5.4 Impact-Analyse 54 3.6 Risiko-Bewertung 55 3.7 Risiko-Assessment Methoden 57 3.7.1 Such-Methoden 59 3.7.2 Szenarien-Analyse 60 3.8 Risiko-Behandlung 6l 3.9 Akzeptanz- und Iterationsentscheide 64 3.10 Überwachung und Überprüfung 65 3.11 Universeller Risikomanagement-Prozess 66 3.12 Zusammenfassung.)t67 3.13 Kontrollfragen und Aufgaben 69 Teil B: Anforderungen aus Unternehmenssicht berücksichtigen 71 4 Risikomanagement, ein Pflichtfach der Unternehmensführung 73 4.1 Risikomanagement integriert in das Führungssystem 73 4.2 Corporate Governance 76 4.3 Anforderungen von Gesetzgebern und Regulatoren 78 4.3.1 Gesetz KonTraG in Deutschland 78 4.3.2 Obligationenrecht in der Schweiz 79 4.3.3 Swiss Code of best Practice for Corporate Governance 82 4.3.4 Rahmenwerke Basel II und Basel III 83 4.3.5 Sarbanes-Oxley Act (SOX) der USA 90 4.3.6 EuroSOX 94 4.3.7 Datenschutz: Eine wichtige Unternehmensanforderung 95 4.4 Risikomanagement: Anliegen der Kunden und Öffentlichkeit 99 4.5 Hauptakteure im untemehmensweiten Risikomanagement 100 4.6 Zusammenfassung 103 4.7 Kontrollfragen und Aufgaben 105 5 Risikomanagement integriert in das Management-System 107 5.1 Integrierter unternehmensweiter Risikomanagement-Prozess 108 5.2 Normatives Management 110 XII

^ Inhaltsverzeichnis 5.2.1 Unternehmens-Politik 111 5.2.2 Unternehmens-Verfassung 111 5.2.3 Unternehmens-Kultur 112 5.2.4 Mission und Strategische Ziele 112 5.2.5 Vision als Input des Strategischen Managements 113 5.3 Strategisches Management 113 5-3-1 Strategische Ziele 115 5.3-2 Strategien 119 5.4 Strategie-Umsetzung 119 5.4.1 Strategie-Umsetzung mittels Balanced Scorecards (BSC) 119 5.4.2 Unternehmensübergreifende BSC 124 5.4.3 Balanced Scorecard und CobiT für die IT-Strategie 124 5.4.4 IT-Inclikatoren in der Balanced Scorecard 126 5.4.5 Operatives Management (Gewinn-Management) 130 5.4.6 Policies und Pläne 130 5.4.7 Risikopolitische Grundsätze * 132 5.5 Umsetzung von Anforderungen mit Management-Systemen * 133 5.5.1 Management-Systeme 134 5.5.2 Vereinheitlichung Management-System-Standards durch ISO 136 5.6 Zusammenfassung 1.37 5.7 Kontrollfragen und Aufgaben ; 139 Teil C: Informations-Risiken erkennen und bewältigen... 141 6 Informationssicherheits- und IT-Risiken 143 6.1 Veranschaulichung der Risikozifsammenhänge am Modell 143 6.2 Informationen - die risikoträchtigen Güter.. 146 6.3 System-Ziele für Risiken Informationssicherheit und IT 148 6.4 Informationssicherheit versus IT-Sicherheit 150 6.5 Informationssicherheits-Risiken versus IT-Risiken 151 6.6 Grundschutz und Informationssicherheits-Risikomanagement 152 6.7 Zusammenfassung 153 6.8 Kontrollfragen und Aufgaben 154 7 Informationssicherheits- und IT-Governance 155 7.1 Management von Informations- und IT-Sicherheit 155 7.1.2 IT-Governance versus Informationssicherheits-Governance 156 7.1.3 IT-Governance nach ITGI der ISACA 158 7.1.4 Informationssicherheits-Governance nach ITGI der ISACA 160 7.2 Organisatorische Funktionen für Informations-Risiken 1.64 XIII

7.2.1 Chief Information Officer (CIO) 165 7.2.2 Chief (Information) Security Offieer 165 7.2.3 Business-Owner, IT-Owner und IT-Administratoren 167 7.2.4 Information Security Steering Committee 168 7.2.5 Checks and Balances durch Organisations-Struktur 168 7.3 Zusammenfassung 171 7.4 Kontrollfragen und Aufgaben 172 8 Informationssicherheits-Risikomanagement in der Führungs-Pyramide 173 8.1 Ebenen der Führungspyramide 174 8.1.1 Risiko- und Sicherheits-Politik auf der Unternehmens-Ebene 174 8.1.2 Informationssicherheits-Politik und ISMS-Politik 175 8.1.3 Weisungen und Ausführungsbestimmungen 177 8.1.4 Informationssicherheits-Architektur und -Standards 179 8.1.5 IT-Sicherheitskonzepte 183 8.2 Zusammenfassung 184 8.3 Kontrollfragen und Aufgaben f. 186 9 Informations-Risikomanagement mit Standard-Regelwerken 187 9.1 Bedeutung der Standard-Regelwerke 187 9.2 Übersicht über wichtige Regelwerke 189 9.3 Risikomanagement mit der Standard-Reihe ISO/IEC 2700x 195 9.3.1 Informationssicherheits-Management nach ISO/IEC 27001 197 9.3.2 Code of Practice ISO/IEC 27002 205 9-3.3 Informationssicherheits-Risikomanagement mit ISO/IEC 27005 209 9.4 CobiT Framework 212 9.4.1 CobiT 4.1 213 9.4.2 IT-Risikomanagement mit CobiT 4.1 219 9-5 BSI-Standards und Grundschutzkataloge 221 9.6 Zusammenfassung 224 9.7 Kontrollfragen und Aufgaben 225 10 Methoden und Werkzeuge zum IT-Risikomanagement 227 10.1 IT-Risikomanagement mit Sicherheitskonzepten 227 10.1.1 Kapitel Kontextbeschreibung" 231 10.1.2 Kapitel Risiko-Assessment" 235 10.1.3 Kapitel Risiko-Analyse", 238 10.1.4 Schwachstellen-Analyse anstelle einer Risiko-Analyse 240 10.1.5 Kapitel Bewertung und Anforderungen an Massnahmen" 242 XIV

10.1.6 Kapitel Definition und Beschreibung Massnahmen" 245 10.1.7 Kapitel Umsetzung Massnahmen" 246 10.1.8 Kommunikation und kooperative Ausarbeitung der Kapitel 249 10.1.9 Risiko-Akzeptanz, Konzept-Abnahme und-anpassung 249 10.1.10 Überwachung und Überprüfung 250 10.2. Die CRAMM-Methode 250 10.3 Fehlermöglichkeits- und Einfluss-Analyse 257 10.4 Fehlerbaum-Analyse 259 10.5 Ereignisbaum-Analyse 264 10.6 Zusammenfassung 265 10.7 Kontrollfragen und Aufgaben 268 11 Kosten/Nutzen - Relationen der Risikobehandlung 273 11.1 Formel für "Return on Security Investments" (ROSI) 275 11.2 Ermittlung der Kosten für die Sicherheitsmassnahmen 277 11.3 Ermittlung der Kosten der behandelten Risiken ^80 11.4 Massnahmen-Nutzen ausgerichtet an Unternehmenszielen 281 11.4.1 Grundzüge von Val IT 283 11.4.2 Grundzüge von Risk IT 285 11.5 Fazit zu Ansätzen der Sicherheit-Nutzen-Bestimmung 288 11.6 Zusammenfassung! 288 11.7 Kontrollfragen und Aufgaben 291 Teil D: Unternehmens-Prozesse meistern 293 12 Risikomanagement-Prozesse im Unternehmen 295 12.1 Verzahnung der RM-Prozesse im Unternehmen 296 12.1.1 Risiko-Konsolidierung 297 12.1.2 Subsidiäre RM-Prozesse 298 12.1.3 Informations-RM und Rollenkonzepte im Gesamt-RM 300 12.2 Risikomanagement im Strategie-Prozess 302 12.2.1 Risikomanagement und IT-Strategie im Strategie-Prozess 303 12.2.2 Periodisches Risiko-Reporting 306 12.3 Zusammenfassung 306 12.4 Kontrollfragen und Aufgaben 307 13 Geschäftskontinuitäts-Management und IT-Notfall-Planung 309 13.1 Einzelpläne zur Unterstützung der Geschäftskontinuität 310 13.1.1 Geschäftskontinuitäts-Plan (Business Continuity Plan) 311

13-1.2 Betriebskontinuitäts-Plan (Continuity of Operations Plan) 313 13.1.3 Ausweichplan (Disaster Recovery Plan) 313 13-1-4 IT-Notfall-Plan (IT Contingency Plan) 314 13-1-5 Vulnerability- und Incident Response-Plan 314 13-2 BCMS im Unternehmens-Risikomanagement 315 13-3 Planung Kontinuitäts-System.^...318 13-3-1 Kontext des Unternehmens 318 13-3-2 Führung 319 13-3-3 Planung 321 13.3.4 Unterstützung 322 13-4 Operation 325 13-5 Geschäfts-Impact-Analyse' und Risiko-Assessment 326 13-5-1 Geschäfts-Impact-Analyse 326 13.5.2 Risk-Assessment 330 13.6 Geschäftskontinuität-Strategien 331 13.7 Geschäftskontinuitäts-Verfahren und Pläne 34 13.7.1 Krisenmanagement 334 13.7.2 Kriterien für Plan-Aktivierungen 338 13-7-3 Ressourcen und externe Abhängigkeiten 339 13-7.4 Plan-Zusammenstellung 340 13-7.5 Kommunikationskonzept für Ereignisfall 341 13-8 Tests, Übungen und Plan-Unterhalt 342 13-8.1 Tests 343 13.8.2 Übungsvorbereitungen und -Durchführungen 343 13-8.3 Wartung und Überprüfung der Pläne 344 13-9 Leistungsbewertung 345 13-9-1 Überwachung und Überprüfung 345 13-9-2 Internes und externes Audit 346 13-9-3 Überprüfung durch Management 347 13-10 Kontinuierliche Verbesserungen und Wiederholungen 349 13-11 IT-Notfall-Plan, Vulnerability- und Incident-Management 349 13.11.1 Organisation eines Vulnerability- und Incident-Managements 352 13-11.2 Behandlung von plötzlichen Ereignissen als RM-Prozess 355 13-12 Zusammenfassung 356 13-13 Kontrollfragen und Aufgaben 358 14 Risikomanagement im Lifecycle von Informationen und Systemen 359 14.1 Schutz von Informationen im Lifecycle 359 14.1.1 Einstufung der Informations-Risiken 359 XVI

14.1.2 Massnahmen für die einzelnen Schutzphasen 360 14.2 Risikomanagement im Lifecycle von IT-Systemen 361 14.3 Synchronisation RM mit System-Lifecycle 363 14.4 Zusammenfassung 365 14.5 Kontrollfragen und Auj&gaben 366 15 Risikomanagement in Outsourcing-Prozessen 369 15.1 IT-Risikomanagement im Outsourcing-Vertrag 370 15.1.1 Sicherheitskonzept im Sourcing-Lifecycle 372 15.1.2 Sicherheitskonzept beim Dienstleister 375 15.2 Zusammenfassung 377 15.3 Kontrollfragen 378 16 Risikomanagement bei Nutzung und Angebot Cloud-Computing 379 16.1 Prinzip und Definitionen Cloud-Computing 379 16.1.1 Wesentliche Charakteristiken i382 16.1.2 Service-Modelle o82 16.1.3 Deployment-Modelle 383 16.2 Informationssicherheitsrisiken beim Cloud-Computing 384 16.3 Cloud-Sourcing als Service aus der Kundenperspektive 384 16.3.1 Phase 1: Cloud-Sourcing-Strategie 388 16.3-2 Phase 2: Evaluation und Auswahl 389 16.3-3 Phase 3: Vertragsentwicklung 391 16.3.4 Phase 4: Cloud-Sourcing-Management 392 16.4 Risikomanagement für Cloud-Cqmputing aus Kundensicht 393 16.4.1 Kontext im Sicherheitskonzept für Cloud-Computing-Einsatz 394 16.4.2 Risiko-Assessment 396 16.5 Cloud-Sourcing-Lifecycle auf der Provider-Seite 403 16.6 Zusammenfassung 404 16.7 Kontrollfragen und Aufgaben 407 \ Anhang 409 A.l Beispiele von Risiko-Arten 411 A.2 Beispiele von Cyber Threats" 415 A.3 Muster Ausführungsbestimmung für Informationsschutz 417 A.4 Formulare zur Einschätzung von IT-Risiken 421 A.5 Beispiele zur Aggregation von operationellen Risiken 425 XVII

Literatur 429 Abkürzungsverzeichnis 436 Stichwortverzeichnis 438 1 t x XVIII

2026 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback