IT-Risikomanagement mit System



Ähnliche Dokumente
IT-Risikomanagement mit System

IT-Risiko- Management mit System

Der IT Security Manager

IT-Outsourcing-Entscheidungen

Optimale Prozessorganisation im IT-Management

Public Private Partnerships und öffentliche Verschuldung

Qualitätsmanagement - Lehrbuch für Studium und Praxis

Produktionsmanagement von IT-Dienstleistungen

Schulungspaket ISO 9001

Auktionen und Revenue Management in der Automobilindustrie

1 Einleitung 1. 2 Entwicklung und Bedeutung von COBIT 7

Wertorientiertes Supply Chain Management

Führungskräfte-Feedback von Menschen mit Down-Syndrom

Agile Unternehmen durch Business Rules

Investitionsentscheidungen institutioneller Investoren für Private-Equity- Gesellschaften

Schulungspaket QM. Prozesse optimieren Methoden einführen Kundenzufriedenheit erhöhen. Bearbeitet von Anja Kranefeld

Change Management in der Praxis

Ausgewählte Aspekte des Rückkaufs eigener Aktien in Deutschland

Unternehmenskooperation für kleine und mittelständische Unternehmen

Berufsentwicklung für die Branche der Windenergienutzung in Deutschland

Ambulante Pflegeberatung

Informationsintegration in der Just-in-Sequence-Logistik

IT-Service Management mit ITIL

Strategisches IT-Management mit dem COBIT Framework. Markus Gronerad, Scheer Management

Büroprojektentwicklung im Spannungsfeld von Transaktionskosten und stadtplanerischer Intervention

Public Private Partnership in der Entsorgung der gemischten Siedlungsabfälle in Deutschland

Implementierung eines steuerlichen Risikomanagementsystems

Risikomanagement zahlt sich aus

Risikomanagement in sozialen Unternehmen

Erfolgreiche Steuerungs- und Reportingsysteme in verbundenen Unternehmen

IT-Sicherheitsmanagement bei der Landeshauptstadt München

Resilien-Tech. Resiliente Unternehmen. Security Consulting. 08. Mai Burkhard Kesting

Rudolf Schraml. Beratung und Vertrieb IT-Security und Datenschutz

IT-Aufsicht im Bankensektor Fit für die Bafin-Sonderprüfungen

Eigentümerstrukturen deutscher Zeitungsverlage

Pflegebedürftig?! Das Angehörigenbuch

Inhaltsverzeichnis VII

Filme der Kindheit Kindheit im Film

Elektrotechnik für Ingenieure 3

C R I S A M im Vergleich

ISO und IEC Team im Krankenhaus integriertes Managementsystem für Informations-Sicherheit im Medizinbetrieb PDCA statt DDDP*

IT-Sicherheit kompakt und verständlich

Innovationsmanagement

Der Kälteanlagenbauer

Energieeffiziente Schulen - EnEff:Schule.

Beck-Wirtschaftsberater im dtv Rating. Wie Sie Ihre Bank überzeugen. von Prof. Dr. Ottmar Schneck

Risikobasierte Bewertung von Hilfsstoffen

Tinnitus. Kognitiv-verhaltenstherapeutisches Behandlungsmanual. Mit Online-Materialien

4. FIT-ÖV Juli 2009 in Aachen Informationssicherheit im IT Service Management

Volker Johanning. IT-Strategie. Optimale Ausrichtung der IT an das. Business in 7 Schritten. ^ Springer Vieweg

Integrierte Unternehmensplanung

BCM Business Continuity Management

KOMPASS - Kompetenztraining für Jugendliche mit Autismus- Spektrum-Störungen

International anerkannter Standard für IT-Sicherheit: ISO Umsetzung und Zertifizierung auf der Basis von BSI Grundschutz

Umsetzung des ISMS bei DENIC

IT-Sicherheit Risiken erkennen und behandeln. Hanau,

der Informationssicherheit

Workflowmanagement in der Produktionsplanung und -steuerung

Langenscheidt Training plus, Mathe 6. Klasse

Aktuarielle Methoden der Tarifgestaltung in der Schaden- /Unfallversicherung

Internationales Privatrecht und Geschäftsführerhaftung bei Insolvenzen von Auslandsgesellschaften

Der IT Security Manager

Implementierung von Coaching als Instrument der Personalentwicklung in deutschen Großunternehmen

Einführung in das betriebliche Rechnungswesen

IT-Governance und COBIT. DI Eberhard Binder

Hans-Peter Königs. IT-Risiko-Management mit System

Kranken- und Unfallversicherungen

Produktionswirtschaft

Shared Service Center-Controlling

Hans-Peter Königs. IT-Risiko-Management mit System

Betriebswirtschaftliche Grundsätze für. Struktur, Elemente und Ausgestaltung nach IDW PS 980. Von Dr. Karl-Heinz Withus

Lean Mangement und Six Sigma

Praxiswissen COBIT. dpunkt.verlag. Grundlagen und praktische Anwendung. in der Unternehmens-IT. Markus Gaulke

scalaris ECI Day 2012 Risikomanagement in der Praxis 30. Oktober 2012 Rolf P. Schatzmann Chief Risk and Compliance Officer Renova Management AG

Implementierung eines Business Continuity Management Systems ISACA Trend Talk Bernhard Zacherl

Grundlagen des Risikomanagements im Unternehmen ebook

Taschenbuch Betriebliche Sicherheitstechnik

Wissen managen. Wie Unternehmen ihre wertvollste Ressource optimal nutzen. Bearbeitet von Gilbert Probst, Steffen Raub, Kai Romhardt

für das ICT Risk Management

Systemen im Wandel. Autor: Dr. Gerd Frenzen Coromell GmbH Seite 1 von 5

Studienführer Consulting

Informations- / IT-Sicherheit Standards

ITIL. fyj Springer. Peter T.Köhler. Das IT-Servicemanagement Framework. Mit 209 Abbildungen

Medizintechnik und Informationstechnologie im Krankenhaus. Dr. Andreas Zimolong

Einführung in das Controlling

Geschäftsprozessmanagement in der Praxis

COBIT 5/ITIL-Convergence?

IT-Revision als Chance für das IT- Management

Entwicklungsqualität

IT-Grundschutz nach BSI 100-1/-4

Business. Projektmanagement. Grundlagen, Methoden und Techniken. Bearbeitet von Rolf Meier

Pensionskasse des Bundes Caisse fédérale de pensions Holzikofenweg 36 Cassa pensioni della Confederazione

Die Unternehmergesellschaft

Interkulturelle Verständigung in der Sozialen Arbeit

MicroRNA Interference Technologies

Risiko-Management im Krankenhaus Implementierung eines Managementsystems zur Minimierung von Risiken

27001 im Kundendialog. ISO Wertschätzungsmanagement. Wie Wertschätzung profitabel macht und den Kunden glücklich

Informationssicherheit. Das Ganze ist mehr als die Summe von Einzelmaßnahmen.

Transkript:

Edition kes IT-Risikomanagement mit System Praxisorientiertes Management von Informationssicherheits- und IT-Risiken Bearbeitet von Hans-Peter Königs 1. Auflage 2013. Buch. xviii, 454 S. ISBN 978 3 8348 1687 0 Format (B x L): 16,8 x 24 cm Gewicht: 957 g Wirtschaft > Betriebswirtschaft: Theorie & Allgemeines > Wirtschaftsinformatik, SAP, IT-Management schnell und portofrei erhältlich bei Die Online-Fachbuchhandlung beck-shop.de ist spezialisiert auf Fachbücher, insbesondere Recht, Steuern und Wirtschaft. Im Sortiment finden Sie alle Medien (Bücher, Zeitschriften, CDs, ebooks, etc.) aller Verlage. Ergänzt wird das Programm durch Services wie Neuerscheinungsdienst oder Zusammenstellungen von Büchern zu Sonderpreisen. Der Shop führt mehr als 8 Millionen Produkte.

1 Einführung... 1 1.1 Warum beschäftigen wir uns mit Risiken?... 1 1.2 Risiken bei unternehmerischen Tätigkeiten... 3 1.3 Inhalt und Aufbau dieses Buchs... 3 Teil A: Grundlagen erarbeiten... 5 2 Elemente für die Durchführung eines Risikomanagements... 7 2.1 Fokus und Kontext Risikomanagement... 9 2.2 Definition des Begriffs Risiko... 9 2.3 Risiko kombiniert aus Wahrscheinlichkeit und Konsequenz... 13 2.4 Probleme bei Risikobestimmung mittels einfacher Multiplikation... 17 2.5 Subjektivität bei Einschätzung und Bewertung der Risiken... 18 2.6 Hilfsmittel zur Analyse, Aufbereitung und Darstellung der Risiken... 19 2.6.1 Risiko-Bewertungs-Matrix... 19 2.6.2 Kriterien zur Schadenseinstufung... 21 2.6.3 Risiko-Landkarte, Akzeptanz-Kriterien und Risiko-Portfolio... 24 2.6.4 Risiko-Katalog... 25 2.7 Risiko-Aggregation und Abhängigkeiten... 27 2.8 Beschreibung der Risiken mit Risikomasszahlen... 29 2.8.1 Stochastische Methoden zur Bestimmung des Risikos... 31 2.8.2 Risiko-Analyse und -Überwachung mit Indikatoren... 35 2.9 Risiko-Organisation, Kategorien und Arten von Risiken... 36 2.9.1 Bedrohungslisten... 39 2.9.2 Beispiele von Risiko-Arten... 39 2.10 Zusammenfassung... 41 2.11 Kontrollfragen und Aufgaben... 42 3 Risikomanagement als Prozess... 43 3.1 Kommunikation und Konsultation... 45 3.2 Festlegung Risikomanagement-Kontext... 46 XI

3.3 Durchführung Risiko-Assessment... 47 3.4 Risiko-Identifikation... 48 3.5 Risiko-Analyse... 50 3.5.1 Teil-Analysen... 51 3.5.2 Bedrohungs-Analyse... 51 3.5.3 Schwächen-Analyse... 52 3.5.4 Impact-Analyse... 54 3.6 Risiko-Bewertung... 55 3.7 Risiko-Assessment Methoden... 57 3.7.1 Such-Methoden... 59 3.7.2 Szenarien-Analyse... 60 3.8 Risiko-Behandlung... 61 3.9 Akzeptanz- und Iterationsentscheide... 64 3.10 Überwachung und Überprüfung... 65 3.11 Universeller Risikomanagement-Prozess... 66 3.12 Zusammenfassung... 67 3.13 Kontrollfragen und Aufgaben... 69 Teil B: Anforderungen aus Unternehmenssicht berücksichtigen... 71 4 Risikomanagement, ein Pflichtfach der Unternehmensführung... 73 4.1 Risikomanagement integriert in das Führungssystem... 73 4.2 Corporate Governance... 76 4.3 Anforderungen von Gesetzgebern und Regulatoren... 78 4.3.1 Gesetz KonTraG in Deutschland... 78 4.3.2 Obligationenrecht in der Schweiz... 79 4.3.3 Swiss Code of best Practice for Corporate Governance... 82 4.3.4 Rahmenwerke Basel II und Basel III... 83 4.3.5 Sarbanes-Oxley Act (SOX) der USA... 90 4.3.6 EuroSOX... 94 4.3.7 Datenschutz: Eine wichtige Unternehmensanforderung... 95 4.4 Risikomanagement: Anliegen der Kunden und Öffentlichkeit... 99 4.5 Hauptakteure im unternehmensweiten Risikomanagement... 100 4.6 Zusammenfassung... 103 4.7 Kontrollfragen und Aufgaben... 105 5 Risikomanagement integriert in das Management-System... 107 5.1 Integrierter unternehmensweiter Risikomanagement-Prozess... 108 5.2 Normatives Management... 110 XII

5.2.1 Unternehmens-Politik... 111 5.2.2 Unternehmens-Verfassung... 111 5.2.3 Unternehmens-Kultur... 112 5.2.4 Mission und Strategische Ziele... 112 5.2.5 Vision als Input des Strategischen Managements... 113 5.3 Strategisches Management... 113 5.3.1 Strategische Ziele... 115 5.3.2 Strategien... 119 5.4 Strategie-Umsetzung... 119 5.4.1 Strategie-Umsetzung mittels Balanced Scorecards (BSC)... 119 5.4.2 Unternehmensübergreifende BSC... 124 5.4.3 Balanced Scorecard und CobiT für die IT-Strategie... 124 5.4.4 IT-Indikatoren in der Balanced Scorecard... 126 5.4.5 Operatives Management (Gewinn-Management)... 130 5.4.6 Policies und Pläne... 130 5.4.7 Risikopolitische Grundsätze... 132 5.5 Umsetzung von Anforderungen mit Management-Systemen... 133 5.5.1 Management-Systeme... 134 5.5.2 Vereinheitlichung Management-System-Standards durch ISO... 136 5.6 Zusammenfassung... 137 5.7 Kontrollfragen und Aufgaben... 139 Teil C: Informations-Risiken erkennen und bewältigen... 141 6 Informationssicherheits- und IT-Risiken... 143 6.1 Veranschaulichung der Risikozusammenhänge am Modell... 143 6.2 Informationen die risikoträchtigen Güter... 146 6.3 System-Ziele für Risiken Informationssicherheit und IT... 148 6.4 Informationssicherheit versus IT-Sicherheit... 150 6.5 Informationssicherheits-Risiken versus IT-Risiken... 151 6.6 Grundschutz und Informationssicherheits-Risikomanagement... 152 6.7 Zusammenfassung... 153 6.8 Kontrollfragen und Aufgaben... 154 7 Informationssicherheits- und IT-Governance... 155 7.1 Management von Informations- und IT-Sicherheit... 155 7.1.2 IT-Governance versus Informationssicherheits-Governance... 156 7.1.3 IT-Governance nach ITGI der ISACA... 158 7.1.4 Informationssicherheits-Governance nach ITGI der ISACA... 160 7.2 Organisatorische Funktionen für Informations-Risiken... 164 XIII

7.2.1 Chief Information Officer (CIO)... 165 7.2.2 Chief (Information) Security Officer... 165 7.2.3 Business-Owner, IT-Owner und IT-Administratoren... 167 7.2.4 Information Security Steering Committee... 168 7.2.5 Checks and Balances durch Organisations-Struktur... 168 7.3 Zusammenfassung... 171 7.4 Kontrollfragen und Aufgaben... 172 8 Informationssicherheits-Risikomanagement in der Führungs-Pyramide... 173 8.1 Ebenen der Führungspyramide... 174 8.1.1 Risiko- und Sicherheits-Politik auf der Unternehmens-Ebene... 174 8.1.2 Informationssicherheits-Politik und ISMS-Politik... 175 8.1.3 Weisungen und Ausführungsbestimmungen... 177 8.1.4 Informationssicherheits-Architektur und -Standards... 179 8.1.5 IT-Sicherheitskonzepte... 183 8.2 Zusammenfassung... 184 8.3 Kontrollfragen und Aufgaben... 186 9 Informations-Risikomanagement mit Standard-Regelwerken... 187 9.1 Bedeutung der Standard-Regelwerke... 187 9.2 Übersicht über wichtige Regelwerke... 189 9.3 Risikomanagement mit der Standard-Reihe ISO/IEC 2700x... 195 9.3.1 Informationssicherheits-Management nach ISO/IEC 27001... 197 9.3.2 Code of Practice ISO/IEC 27002... 205 9.3.3 Informationssicherheits-Risikomanagement mit ISO/IEC 27005... 209 9.4 CobiT Framework... 212 9.4.1 CobiT 4.1... 213 9.4.2 IT-Risikomanagement mit CobiT 4.1... 219 9.5 BSI-Standards und Grundschutzkataloge... 221 9.6 Zusammenfassung... 224 9.7 Kontrollfragen und Aufgaben... 225 10 Methoden und Werkzeuge zum IT-Risikomanagement... 227 10.1 IT-Risikomanagement mit Sicherheitskonzepten... 227 10.1.1 Kapitel Kontextbeschreibung... 231 10.1.2 Kapitel Risiko-Assessment... 235 10.1.3 Kapitel Risiko-Analyse... 238 10.1.4 Schwachstellen-Analyse anstelle einer Risiko-Analyse... 240 10.1.5 Kapitel Bewertung und Anforderungen an Massnahmen... 242 XIV

10.1.6 Kapitel Definition und Beschreibung Massnahmen... 245 10.1.7 Kapitel Umsetzung Massnahmen... 246 10.1.8 Kommunikation und kooperative Ausarbeitung der Kapitel... 249 10.1.9 Risiko-Akzeptanz, Konzept-Abnahme und -Anpassung... 249 10.1.10 Überwachung und Überprüfung... 250 10.2 Die CRAMM-Methode... 250 10.3 Fehlermöglichkeits- und Einfluss-Analyse... 257 10.4 Fehlerbaum-Analyse... 259 10.5 Ereignisbaum-Analyse... 264 10.6 Zusammenfassung... 265 10.7 Kontrollfragen und Aufgaben... 268 11 Kosten/Nutzen - Relationen der Risikobehandlung... 273 11.1 Formel für Return on Security Investments (ROSI)... 275 11.2 Ermittlung der Kosten für die Sicherheitsmassnahmen... 277 11.3 Ermittlung der Kosten der behandelten Risiken... 280 11.4 Massnahmen-Nutzen ausgerichtet an Unternehmenszielen... 281 11.4.1 Grundzüge von Val IT... 283 11.4.2 Grundzüge von Risk IT... 285 11.5 Fazit zu Ansätzen der Sicherheit-Nutzen-Bestimmung... 288 11.6 Zusammenfassung... 288 11.7 Kontrollfragen und Aufgaben... 291 Teil D: Unternehmens-Prozesse meistern... 293 12 Risikomanagement-Prozesse im Unternehmen... 295 12.1 Verzahnung der RM-Prozesse im Unternehmen... 296 12.1.1 Risiko-Konsolidierung... 297 12.1.2 Subsidiäre RM-Prozesse... 298 12.1.3 Informations-RM und Rollenkonzepte im Gesamt-RM... 300 12.2 Risikomanagement im Strategie-Prozess... 302 12.2.1 Risikomanagement und IT-Strategie im Strategie-Prozess... 303 12.2.2 Periodisches Risiko-Reporting... 306 12.3 Zusammenfassung... 306 12.4 Kontrollfragen und Aufgaben... 307 13 Geschäftskontinuitäts-Management und IT-Notfall-Planung... 309 13.1 Einzelpläne zur Unterstützung der Geschäftskontinuität... 310 13.1.1 Geschäftskontinuitäts-Plan (Business Continuity Plan)... 311 XV

13.1.2 Betriebskontinuitäts-Plan (Continuity of Operations Plan)... 313 13.1.3 Ausweichplan (Disaster Recovery Plan)... 313 13.1.4 IT-Notfall-Plan (IT Contingency Plan)... 314 13.1.5 Vulnerability- und Incident Response-Plan... 314 13.2 BCMS im Unternehmens-Risikomanagement... 315 13.3 Planung Kontinuitäts-System... 318 13.3.1 Kontext des Unternehmens... 318 13.3.2 Führung... 319 13.3.3 Planung... 321 13.3.4 Unterstützung... 322 13.4 Operation... 325 13.5 Geschäfts-Impact-Analyse und Risiko-Assessment... 326 13.5.1 Geschäfts-Impact-Analyse... 326 13.5.2 Risk-Assessment... 330 13.6 Geschäftskontinuität-Strategien... 331 13.7 Geschäftskontinuitäts-Verfahren und Pläne... 334 13.7.1 Krisenmanagement... 334 13.7.2 Kriterien für Plan-Aktivierungen... 338 13.7.3 Ressourcen und externe Abhängigkeiten... 339 13.7.4 Plan-Zusammenstellung... 340 13.7.5 Kommunikationskonzept für Ereignisfall... 341 13.8 Tests, Übungen und Plan-Unterhalt... 342 13.8.1 Tests... 343 13.8.2 Übungsvorbereitungen und -Durchführungen... 343 13.8.3 Wartung und Überprüfung der Pläne... 344 13.9 Leistungsbewertung... 345 13.9.1 Überwachung und Überprüfung... 345 13.9.2 Internes und externes Audit... 346 13.9.3 Überprüfung durch Management... 347 13.10 Kontinuierliche Verbesserungen und Wiederholungen... 349 13.11 IT-Notfall-Plan, Vulnerability- und Incident-Management... 349 13.11.1 Organisation eines Vulnerability- und Incident-Managements... 352 13.11.2 Behandlung von plötzlichen Ereignissen als RM-Prozess... 355 13.12 Zusammenfassung... 356 13.13 Kontrollfragen und Aufgaben... 358 14 Risikomanagement im Lifecycle von Informationen und Systemen... 359 14.1 Schutz von Informationen im Lifecycle... 359 14.1.1 Einstufung der Informations-Risiken... 359 XVI

14.1.2 Massnahmen für die einzelnen Schutzphasen... 360 14.2 Risikomanagement im Lifecycle von IT-Systemen... 361 14.3 Synchronisation RM mit System-Lifecycle... 363 14.4 Zusammenfassung... 365 14.5 Kontrollfragen und Aufgaben... 366 15 Risikomanagement in Outsourcing-Prozessen... 369 15.1 IT-Risikomanagement im Outsourcing-Vertrag... 370 15.1.1 Sicherheitskonzept im Sourcing-Lifecycle... 372 15.1.2 Sicherheitskonzept beim Dienstleister... 375 15.2 Zusammenfassung... 377 15.3 Kontrollfragen... 378 16 Risikomanagement bei Nutzung und Angebot Cloud-Computing... 379 16.1 Prinzip und Definitionen Cloud-Computing... 379 16.1.1 Wesentliche Charakteristiken... 382 16.1.2 Service-Modelle... 382 16.1.3 Deployment-Modelle... 383 16.2 Informationssicherheitsrisiken beim Cloud-Computing... 384 16.3 Cloud-Sourcing als Service aus der Kundenperspektive... 384 16.3.1 Phase 1: Cloud-Sourcing-Strategie... 388 16.3.2 Phase 2: Evaluation und Auswahl... 389 16.3.3 Phase 3: Vertragsentwicklung... 391 16.3.4 Phase 4: Cloud-Sourcing-Management... 392 16.4 Risikomanagement für Cloud-Computing aus Kundensicht... 393 16.4.1 Kontext im Sicherheitskonzept für Cloud-Computing-Einsatz... 394 16.4.2 Risiko-Assessment... 396 16.5 Cloud-Sourcing-Lifecycle auf der Provider-Seite... 403 16.6 Zusammenfassung... 404 16.7 Kontrollfragen und Aufgaben... 407 Anhang... 409 A.1 Beispiele von Risiko-Arten... 411 A.2 Beispiele von Cyber Threats... 415 A.3 Muster Ausführungsbestimmung für Informationsschutz... 417 A.4 Formulare zur Einschätzung von IT-Risiken... 421 A.5 Beispiele zur Aggregation von operationellen Risiken... 425 XVII

Literatur... 429 Abkürzungsverzeichnis... 436 Stichwortverzeichnis... 438 XVIII

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback