Edition kes IT-Risikomanagement mit System Praxisorientiertes Management von Informationssicherheits- und IT-Risiken Bearbeitet von Hans-Peter Königs 1. Auflage 2013. Buch. xviii, 454 S. ISBN 978 3 8348 1687 0 Format (B x L): 16,8 x 24 cm Gewicht: 957 g Wirtschaft > Betriebswirtschaft: Theorie & Allgemeines > Wirtschaftsinformatik, SAP, IT-Management schnell und portofrei erhältlich bei Die Online-Fachbuchhandlung beck-shop.de ist spezialisiert auf Fachbücher, insbesondere Recht, Steuern und Wirtschaft. Im Sortiment finden Sie alle Medien (Bücher, Zeitschriften, CDs, ebooks, etc.) aller Verlage. Ergänzt wird das Programm durch Services wie Neuerscheinungsdienst oder Zusammenstellungen von Büchern zu Sonderpreisen. Der Shop führt mehr als 8 Millionen Produkte.
1 Einführung... 1 1.1 Warum beschäftigen wir uns mit Risiken?... 1 1.2 Risiken bei unternehmerischen Tätigkeiten... 3 1.3 Inhalt und Aufbau dieses Buchs... 3 Teil A: Grundlagen erarbeiten... 5 2 Elemente für die Durchführung eines Risikomanagements... 7 2.1 Fokus und Kontext Risikomanagement... 9 2.2 Definition des Begriffs Risiko... 9 2.3 Risiko kombiniert aus Wahrscheinlichkeit und Konsequenz... 13 2.4 Probleme bei Risikobestimmung mittels einfacher Multiplikation... 17 2.5 Subjektivität bei Einschätzung und Bewertung der Risiken... 18 2.6 Hilfsmittel zur Analyse, Aufbereitung und Darstellung der Risiken... 19 2.6.1 Risiko-Bewertungs-Matrix... 19 2.6.2 Kriterien zur Schadenseinstufung... 21 2.6.3 Risiko-Landkarte, Akzeptanz-Kriterien und Risiko-Portfolio... 24 2.6.4 Risiko-Katalog... 25 2.7 Risiko-Aggregation und Abhängigkeiten... 27 2.8 Beschreibung der Risiken mit Risikomasszahlen... 29 2.8.1 Stochastische Methoden zur Bestimmung des Risikos... 31 2.8.2 Risiko-Analyse und -Überwachung mit Indikatoren... 35 2.9 Risiko-Organisation, Kategorien und Arten von Risiken... 36 2.9.1 Bedrohungslisten... 39 2.9.2 Beispiele von Risiko-Arten... 39 2.10 Zusammenfassung... 41 2.11 Kontrollfragen und Aufgaben... 42 3 Risikomanagement als Prozess... 43 3.1 Kommunikation und Konsultation... 45 3.2 Festlegung Risikomanagement-Kontext... 46 XI
3.3 Durchführung Risiko-Assessment... 47 3.4 Risiko-Identifikation... 48 3.5 Risiko-Analyse... 50 3.5.1 Teil-Analysen... 51 3.5.2 Bedrohungs-Analyse... 51 3.5.3 Schwächen-Analyse... 52 3.5.4 Impact-Analyse... 54 3.6 Risiko-Bewertung... 55 3.7 Risiko-Assessment Methoden... 57 3.7.1 Such-Methoden... 59 3.7.2 Szenarien-Analyse... 60 3.8 Risiko-Behandlung... 61 3.9 Akzeptanz- und Iterationsentscheide... 64 3.10 Überwachung und Überprüfung... 65 3.11 Universeller Risikomanagement-Prozess... 66 3.12 Zusammenfassung... 67 3.13 Kontrollfragen und Aufgaben... 69 Teil B: Anforderungen aus Unternehmenssicht berücksichtigen... 71 4 Risikomanagement, ein Pflichtfach der Unternehmensführung... 73 4.1 Risikomanagement integriert in das Führungssystem... 73 4.2 Corporate Governance... 76 4.3 Anforderungen von Gesetzgebern und Regulatoren... 78 4.3.1 Gesetz KonTraG in Deutschland... 78 4.3.2 Obligationenrecht in der Schweiz... 79 4.3.3 Swiss Code of best Practice for Corporate Governance... 82 4.3.4 Rahmenwerke Basel II und Basel III... 83 4.3.5 Sarbanes-Oxley Act (SOX) der USA... 90 4.3.6 EuroSOX... 94 4.3.7 Datenschutz: Eine wichtige Unternehmensanforderung... 95 4.4 Risikomanagement: Anliegen der Kunden und Öffentlichkeit... 99 4.5 Hauptakteure im unternehmensweiten Risikomanagement... 100 4.6 Zusammenfassung... 103 4.7 Kontrollfragen und Aufgaben... 105 5 Risikomanagement integriert in das Management-System... 107 5.1 Integrierter unternehmensweiter Risikomanagement-Prozess... 108 5.2 Normatives Management... 110 XII
5.2.1 Unternehmens-Politik... 111 5.2.2 Unternehmens-Verfassung... 111 5.2.3 Unternehmens-Kultur... 112 5.2.4 Mission und Strategische Ziele... 112 5.2.5 Vision als Input des Strategischen Managements... 113 5.3 Strategisches Management... 113 5.3.1 Strategische Ziele... 115 5.3.2 Strategien... 119 5.4 Strategie-Umsetzung... 119 5.4.1 Strategie-Umsetzung mittels Balanced Scorecards (BSC)... 119 5.4.2 Unternehmensübergreifende BSC... 124 5.4.3 Balanced Scorecard und CobiT für die IT-Strategie... 124 5.4.4 IT-Indikatoren in der Balanced Scorecard... 126 5.4.5 Operatives Management (Gewinn-Management)... 130 5.4.6 Policies und Pläne... 130 5.4.7 Risikopolitische Grundsätze... 132 5.5 Umsetzung von Anforderungen mit Management-Systemen... 133 5.5.1 Management-Systeme... 134 5.5.2 Vereinheitlichung Management-System-Standards durch ISO... 136 5.6 Zusammenfassung... 137 5.7 Kontrollfragen und Aufgaben... 139 Teil C: Informations-Risiken erkennen und bewältigen... 141 6 Informationssicherheits- und IT-Risiken... 143 6.1 Veranschaulichung der Risikozusammenhänge am Modell... 143 6.2 Informationen die risikoträchtigen Güter... 146 6.3 System-Ziele für Risiken Informationssicherheit und IT... 148 6.4 Informationssicherheit versus IT-Sicherheit... 150 6.5 Informationssicherheits-Risiken versus IT-Risiken... 151 6.6 Grundschutz und Informationssicherheits-Risikomanagement... 152 6.7 Zusammenfassung... 153 6.8 Kontrollfragen und Aufgaben... 154 7 Informationssicherheits- und IT-Governance... 155 7.1 Management von Informations- und IT-Sicherheit... 155 7.1.2 IT-Governance versus Informationssicherheits-Governance... 156 7.1.3 IT-Governance nach ITGI der ISACA... 158 7.1.4 Informationssicherheits-Governance nach ITGI der ISACA... 160 7.2 Organisatorische Funktionen für Informations-Risiken... 164 XIII
7.2.1 Chief Information Officer (CIO)... 165 7.2.2 Chief (Information) Security Officer... 165 7.2.3 Business-Owner, IT-Owner und IT-Administratoren... 167 7.2.4 Information Security Steering Committee... 168 7.2.5 Checks and Balances durch Organisations-Struktur... 168 7.3 Zusammenfassung... 171 7.4 Kontrollfragen und Aufgaben... 172 8 Informationssicherheits-Risikomanagement in der Führungs-Pyramide... 173 8.1 Ebenen der Führungspyramide... 174 8.1.1 Risiko- und Sicherheits-Politik auf der Unternehmens-Ebene... 174 8.1.2 Informationssicherheits-Politik und ISMS-Politik... 175 8.1.3 Weisungen und Ausführungsbestimmungen... 177 8.1.4 Informationssicherheits-Architektur und -Standards... 179 8.1.5 IT-Sicherheitskonzepte... 183 8.2 Zusammenfassung... 184 8.3 Kontrollfragen und Aufgaben... 186 9 Informations-Risikomanagement mit Standard-Regelwerken... 187 9.1 Bedeutung der Standard-Regelwerke... 187 9.2 Übersicht über wichtige Regelwerke... 189 9.3 Risikomanagement mit der Standard-Reihe ISO/IEC 2700x... 195 9.3.1 Informationssicherheits-Management nach ISO/IEC 27001... 197 9.3.2 Code of Practice ISO/IEC 27002... 205 9.3.3 Informationssicherheits-Risikomanagement mit ISO/IEC 27005... 209 9.4 CobiT Framework... 212 9.4.1 CobiT 4.1... 213 9.4.2 IT-Risikomanagement mit CobiT 4.1... 219 9.5 BSI-Standards und Grundschutzkataloge... 221 9.6 Zusammenfassung... 224 9.7 Kontrollfragen und Aufgaben... 225 10 Methoden und Werkzeuge zum IT-Risikomanagement... 227 10.1 IT-Risikomanagement mit Sicherheitskonzepten... 227 10.1.1 Kapitel Kontextbeschreibung... 231 10.1.2 Kapitel Risiko-Assessment... 235 10.1.3 Kapitel Risiko-Analyse... 238 10.1.4 Schwachstellen-Analyse anstelle einer Risiko-Analyse... 240 10.1.5 Kapitel Bewertung und Anforderungen an Massnahmen... 242 XIV
10.1.6 Kapitel Definition und Beschreibung Massnahmen... 245 10.1.7 Kapitel Umsetzung Massnahmen... 246 10.1.8 Kommunikation und kooperative Ausarbeitung der Kapitel... 249 10.1.9 Risiko-Akzeptanz, Konzept-Abnahme und -Anpassung... 249 10.1.10 Überwachung und Überprüfung... 250 10.2 Die CRAMM-Methode... 250 10.3 Fehlermöglichkeits- und Einfluss-Analyse... 257 10.4 Fehlerbaum-Analyse... 259 10.5 Ereignisbaum-Analyse... 264 10.6 Zusammenfassung... 265 10.7 Kontrollfragen und Aufgaben... 268 11 Kosten/Nutzen - Relationen der Risikobehandlung... 273 11.1 Formel für Return on Security Investments (ROSI)... 275 11.2 Ermittlung der Kosten für die Sicherheitsmassnahmen... 277 11.3 Ermittlung der Kosten der behandelten Risiken... 280 11.4 Massnahmen-Nutzen ausgerichtet an Unternehmenszielen... 281 11.4.1 Grundzüge von Val IT... 283 11.4.2 Grundzüge von Risk IT... 285 11.5 Fazit zu Ansätzen der Sicherheit-Nutzen-Bestimmung... 288 11.6 Zusammenfassung... 288 11.7 Kontrollfragen und Aufgaben... 291 Teil D: Unternehmens-Prozesse meistern... 293 12 Risikomanagement-Prozesse im Unternehmen... 295 12.1 Verzahnung der RM-Prozesse im Unternehmen... 296 12.1.1 Risiko-Konsolidierung... 297 12.1.2 Subsidiäre RM-Prozesse... 298 12.1.3 Informations-RM und Rollenkonzepte im Gesamt-RM... 300 12.2 Risikomanagement im Strategie-Prozess... 302 12.2.1 Risikomanagement und IT-Strategie im Strategie-Prozess... 303 12.2.2 Periodisches Risiko-Reporting... 306 12.3 Zusammenfassung... 306 12.4 Kontrollfragen und Aufgaben... 307 13 Geschäftskontinuitäts-Management und IT-Notfall-Planung... 309 13.1 Einzelpläne zur Unterstützung der Geschäftskontinuität... 310 13.1.1 Geschäftskontinuitäts-Plan (Business Continuity Plan)... 311 XV
13.1.2 Betriebskontinuitäts-Plan (Continuity of Operations Plan)... 313 13.1.3 Ausweichplan (Disaster Recovery Plan)... 313 13.1.4 IT-Notfall-Plan (IT Contingency Plan)... 314 13.1.5 Vulnerability- und Incident Response-Plan... 314 13.2 BCMS im Unternehmens-Risikomanagement... 315 13.3 Planung Kontinuitäts-System... 318 13.3.1 Kontext des Unternehmens... 318 13.3.2 Führung... 319 13.3.3 Planung... 321 13.3.4 Unterstützung... 322 13.4 Operation... 325 13.5 Geschäfts-Impact-Analyse und Risiko-Assessment... 326 13.5.1 Geschäfts-Impact-Analyse... 326 13.5.2 Risk-Assessment... 330 13.6 Geschäftskontinuität-Strategien... 331 13.7 Geschäftskontinuitäts-Verfahren und Pläne... 334 13.7.1 Krisenmanagement... 334 13.7.2 Kriterien für Plan-Aktivierungen... 338 13.7.3 Ressourcen und externe Abhängigkeiten... 339 13.7.4 Plan-Zusammenstellung... 340 13.7.5 Kommunikationskonzept für Ereignisfall... 341 13.8 Tests, Übungen und Plan-Unterhalt... 342 13.8.1 Tests... 343 13.8.2 Übungsvorbereitungen und -Durchführungen... 343 13.8.3 Wartung und Überprüfung der Pläne... 344 13.9 Leistungsbewertung... 345 13.9.1 Überwachung und Überprüfung... 345 13.9.2 Internes und externes Audit... 346 13.9.3 Überprüfung durch Management... 347 13.10 Kontinuierliche Verbesserungen und Wiederholungen... 349 13.11 IT-Notfall-Plan, Vulnerability- und Incident-Management... 349 13.11.1 Organisation eines Vulnerability- und Incident-Managements... 352 13.11.2 Behandlung von plötzlichen Ereignissen als RM-Prozess... 355 13.12 Zusammenfassung... 356 13.13 Kontrollfragen und Aufgaben... 358 14 Risikomanagement im Lifecycle von Informationen und Systemen... 359 14.1 Schutz von Informationen im Lifecycle... 359 14.1.1 Einstufung der Informations-Risiken... 359 XVI
14.1.2 Massnahmen für die einzelnen Schutzphasen... 360 14.2 Risikomanagement im Lifecycle von IT-Systemen... 361 14.3 Synchronisation RM mit System-Lifecycle... 363 14.4 Zusammenfassung... 365 14.5 Kontrollfragen und Aufgaben... 366 15 Risikomanagement in Outsourcing-Prozessen... 369 15.1 IT-Risikomanagement im Outsourcing-Vertrag... 370 15.1.1 Sicherheitskonzept im Sourcing-Lifecycle... 372 15.1.2 Sicherheitskonzept beim Dienstleister... 375 15.2 Zusammenfassung... 377 15.3 Kontrollfragen... 378 16 Risikomanagement bei Nutzung und Angebot Cloud-Computing... 379 16.1 Prinzip und Definitionen Cloud-Computing... 379 16.1.1 Wesentliche Charakteristiken... 382 16.1.2 Service-Modelle... 382 16.1.3 Deployment-Modelle... 383 16.2 Informationssicherheitsrisiken beim Cloud-Computing... 384 16.3 Cloud-Sourcing als Service aus der Kundenperspektive... 384 16.3.1 Phase 1: Cloud-Sourcing-Strategie... 388 16.3.2 Phase 2: Evaluation und Auswahl... 389 16.3.3 Phase 3: Vertragsentwicklung... 391 16.3.4 Phase 4: Cloud-Sourcing-Management... 392 16.4 Risikomanagement für Cloud-Computing aus Kundensicht... 393 16.4.1 Kontext im Sicherheitskonzept für Cloud-Computing-Einsatz... 394 16.4.2 Risiko-Assessment... 396 16.5 Cloud-Sourcing-Lifecycle auf der Provider-Seite... 403 16.6 Zusammenfassung... 404 16.7 Kontrollfragen und Aufgaben... 407 Anhang... 409 A.1 Beispiele von Risiko-Arten... 411 A.2 Beispiele von Cyber Threats... 415 A.3 Muster Ausführungsbestimmung für Informationsschutz... 417 A.4 Formulare zur Einschätzung von IT-Risiken... 421 A.5 Beispiele zur Aggregation von operationellen Risiken... 425 XVII
Literatur... 429 Abkürzungsverzeichnis... 436 Stichwortverzeichnis... 438 XVIII